Dezvoltatorii platformei de mesagerie descentralizată Matrix au anunțat o oprire de urgență a serverelor Matrix.org și Riot.im (clientul principal al Matrix) din cauza piratarii infrastructurii proiectului. Prima întrerupere a avut loc aseară, după care serverele au fost restaurate și aplicațiile reconstruite din surse de referință. Dar acum câteva minute serverele au fost compromise pentru a doua oară.
Atacatorii au postat pe pagina principală a proiectului informații detaliate despre configurația serverului și date despre prezența unei baze de date cu hash-uri de aproape cinci milioane și jumătate de utilizatori Matrix. Ca dovadă, hash-ul parolei liderului proiectului Matrix este disponibil public. Codul site-ului modificat este postat în depozitul atacatorilor de pe GitHub (nu în depozitul oficial de matrice). Detaliile despre al doilea hack nu sunt încă disponibile.
După primul hack, echipa Matrix a publicat un raport care indică faptul că hack-ul a fost comis printr-o vulnerabilitate în sistemul de integrare continuă Jenkins neactualizat. După ce au obținut acces la serverul Jenkins, atacatorii au interceptat cheile SSH și au putut accesa alte servere de infrastructură. S-a afirmat că codul sursă și pachetele nu au fost afectate de atac. Atacul nu a afectat nici serverele Modular.im. Dar atacatorii au obținut acces la DBMS-ul principal, care conține, printre altele, mesaje necriptate, jetoane de acces și hash-uri de parole.
Toți utilizatorii au fost instruiți să-și schimbe parolele. Dar în procesul de schimbare a parolelor în clientul Riot principal, utilizatorii s-au confruntat cu dispariția fișierelor cu copii de rezervă ale cheilor pentru restabilirea corespondenței criptate și cu incapacitatea de a accesa istoricul mesajelor din trecut.
Să reamintim că platforma de organizare a comunicațiilor descentralizate Matrix se prezintă ca un proiect care utilizează standarde deschise și acordă o mare atenție asigurării securității și confidențialității utilizatorilor. Matrix oferă criptare end-to-end bazată pe algoritmul Signal dovedit, acceptă căutarea și vizualizarea nelimitată a istoricului corespondenței, poate fi folosit pentru a transfera fișiere, trimite notificări, evaluează prezența online a dezvoltatorului, organizează teleconferințe, efectuează apeluri vocale și video. De asemenea, acceptă funcții avansate, cum ar fi notificări de tastare, confirmare de citire, notificări push și căutare pe server, sincronizarea istoricului și stării clientului, diferite opțiuni de identificare (e-mail, număr de telefon, cont Facebook etc.).
Sursa: opennet.ru