Os desenvolvedores da plataforma de mensagens descentralizadas Matrix anunciaram o desligamento emergencial dos servidores Matrix.org e Riot.im (principal cliente do Matrix) devido ao hackeamento da infraestrutura do projeto. A primeira interrupção ocorreu ontem à noite, após a qual os servidores foram restaurados e os aplicativos reconstruídos a partir de fontes de referência. Mas há poucos minutos os servidores foram comprometidos pela segunda vez.
Os invasores postaram na página principal do projeto informações detalhadas sobre a configuração do servidor e dados sobre a presença de um banco de dados com hashes de quase cinco milhões e meio de usuários do Matrix. Como prova, o hash da senha do líder do projeto Matrix está disponível publicamente. O código do site modificado é postado no repositório dos invasores no GitHub (não no repositório oficial da matriz). Detalhes sobre o segundo hack ainda não estão disponíveis.
Após o primeiro hack, a equipe Matrix publicou um relatório indicando que o hack foi cometido por meio de uma vulnerabilidade no sistema de integração contínua Jenkins não atualizado. Após obter acesso ao servidor Jenkins, os invasores interceptaram as chaves SSH e conseguiram acessar outros servidores da infraestrutura. Foi afirmado que o código-fonte e os pacotes não foram afetados pelo ataque. O ataque também não afetou os servidores Modular.im. Mas os invasores obtiveram acesso ao SGBD principal, que contém, entre outras coisas, mensagens não criptografadas, tokens de acesso e hashes de senha.
Todos os usuários foram orientados a alterar suas senhas. Mas no processo de alteração de senhas no cliente principal da Riot, os usuários se depararam com o desaparecimento de arquivos com cópias de segurança das chaves para restauração de correspondência criptografada e a impossibilidade de acessar o histórico de mensagens anteriores.
Recorde-se que a plataforma de organização de comunicações descentralizadas Matrix apresenta-se como um projeto que utiliza padrões abertos e dá grande atenção à garantia da segurança e privacidade dos utilizadores. Matrix fornece criptografia ponta a ponta baseada no comprovado algoritmo Signal, suporta pesquisa e visualização ilimitada do histórico de correspondência, pode ser usado para transferir arquivos, enviar notificações, avaliar a presença online do desenvolvedor, organizar teleconferências, fazer chamadas de voz e vídeo. Ele também oferece suporte a recursos avançados, como notificações de digitação, confirmação de leitura, notificações push e pesquisa no servidor, sincronização de histórico e status do cliente, várias opções de identificador (e-mail, número de telefone, conta do Facebook, etc.).
Fonte: opennet.ru