Matrix, la organización detrás de un proyecto de código abierto que ofrece un protocolo para la comunicación segura y descentralizada en tiempo real, ha sufrido un ataque cibernético masivo luego de que atacantes desconocidos obtuvieran acceso a los servidores que alojan su sitio web oficial y sus datos.
Los piratas informáticos modificaron el sitio web de Matrix y también robaron mensajes privados sin cifrar, hashes de contraseña, tokens de acceso y claves GPG que los encargados del proyecto utilizaron para firmar paquetes.
El ataque cibernético finalmente obligó a la organización a cerrar toda su infraestructura de producción durante varias horas y desconectar a todos los usuarios de Matrix.org.
Por lo tanto, si tiene una cuenta con el servicio Matrix.org y no tiene copias de seguridad de sus claves de cifrado o no estaba utilizando la copia de seguridad de la clave de cifrado del lado del servidor, lamentablemente, no podrá leer todo su historial de conversaciones cifradas.
Matrix es un protocolo de mensajería encriptada de código abierto de extremo a extremo que permite que cualquiera pueda auto hospedar un servicio de mensajería en sus propios servidores, alimentando a muchos mensajeros instantáneos, VoIP, WebRTC, bots y comunicación IoT.
Jenkins vulnerables permitió a los atacantes acceder al servidor
Según un comunicado de prensa publicado hoy por Matrix Project, los atacantes desconocidos explotaron una vulnerabilidad de desvío de sandbox en su infraestructura de producción el 4 de abril que se ejecutaba en una versión obsoleta y vulnerable del servidor de automatización Jenkins.
La falla de Jenkins permitió a los atacantes robar claves SSH internas, que usaban para acceder a la infraestructura de producción de Matrix, y finalmente les otorgó acceso a contenido no cifrado, incluidos mensajes personales, hashes de contraseña y tokens de acceso.
Crédito de la captura de pantalla: David en Twitter |
Después de ser informado de la vulnerabilidad por JaikeySarra el 9 de abril, Matrix.org identificó el alcance completo del ataque y eliminó el vulnerable servidor Jenkins, así como revocó el acceso del atacante desde sus servidores el 10 de abril.
Al día siguiente, Matrix.org también tomó su servidor doméstico y comenzó a reconstruir su infraestructura de producción desde cero, que ahora ha vuelto a estar en línea.
Hoy, alrededor de las 5 am UTC, los atacantes detrás del ataque cibernético también lograron volver a colocar DNS para matrix.org en un sitio web de desfiguración alojado en GitHub usando una clave API de Cloudflare, que se vio comprometida en el ataque y se reemplazó teóricamente durante la reconstrucción.
Dado que la última modificación confirma que los hash de contraseña encriptados robados se eliminaron de la base de datos de producción, Matrix.org se vio obligado a cerrar la sesión de todos los usuarios y les aconsejó cambiar sus contraseñas de inmediato.
«Esta fue una decisión difícil de hacer. Sopesamos el riesgo de que algunos usuarios pierdan el acceso a los mensajes cifrados contra el de que todas las cuentas de los usuarios son vulnerables al secuestro a través de los tokens de acceso comprometidos», dice la compañía.
«Esperamos que pueda ver por qué tomamos la decisión de priorizar la integridad de la cuenta sobre el acceso a los mensajes cifrados, pero lamentamos los inconvenientes que esto pueda haber causado».
La compañía también confirma que las claves GPG utilizadas para firmar paquetes también se vieron comprometidas, pero afortunadamente, los atacantes no lo usaron para lanzar versiones maliciosas del software firmado con las claves robadas.
El proyecto Matrix asegura que ambas claves han sido revocadas.
Los encargados del proyecto también dicen que pronto comenzarán a enviar por correo electrónico a todos los usuarios afectados para informarles sobre el incidente y aconsejarles que cambien sus contraseñas.
Fuente: