Clicky

El proyecto de mensajería cifrada 'Matrix' sufre un importante ataque cibernético

Matrix

Obligó a la organización a cerrar toda su infraestructura de producción durante varias horas

Matrix, la organización detrás de un proyecto de código abierto que ofrece un protocolo para la comunicación segura y descentralizada en tiempo real, ha sufrido un masivo ataque cibernético luego de que atacantes desconocidos obtuvieran acceso a los servidores que alojan su sitio web oficial y sus datos.

Los piratas informáticos modificaron el sitio web de Matrix y también robaron mensajes privados sin cifrar, hashes de contraseña, tokens de acceso y claves GPG que los encargados del proyecto utilizan para firmar paquetes.

El ataque cibernético finalmente obligó a la organización a cerrar toda su infraestructura de producción durante varias horas y desconectar a todos los usuarios de Matrix.org.

Por lo tanto, si tienes una cuenta con el servicio Matrix.org y no tienes copias de seguridad de tus claves de cifrado o no estabas utilizando la copia de seguridad de la clave de cifrado del lado del servidor, lamentablemente no podrás leer todo tu historial de conversaciones cifradas.

Matrix es un protocolo de mensajería encriptada de código abierto de extremo a extremo que permite que cualquiera pueda auto hospedar un servicio de mensajería en sus propios servidores, alimentando a muchos mensajeros instantáneos, VoIP, WebRTC, bots y comunicación IoT.

Jenkins vulnerables permitieron a los atacantes acceder al servidor

Según un comunicado de prensa publicado el viernes por Matrix Project, atacantes desconocidos explotaron una vulnerabilidad de desvío de sandbox en su infraestructura de producción el 4 de abril que se ejecutaba en una versión obsoleta y vulnerable del servidor de automatización Jenkins.

La falla de Jenkins permitió a los atacantes robar claves SSH internas, que usaban para acceder a la infraestructura de producción de Matrix, y finalmente les otorgó acceso a contenido no cifrado, incluidos mensajes personales, hashes de contraseña y tokens de acceso.

Matrix en Github

Después de ser informados el 9 de abril de la vulnerabilidad por JaikeySarraf, Matrix.org identificó el alcance completo del ataque y eliminó el servidor vulnerable Jenkins, así como el 10 de abril revocó el acceso del atacante a sus servidores.

Al día siguiente, Matrix.org modificó también su servidor doméstico y comenzó a reconstruir su infraestructura de producción desde cero, que ahora ha vuelto a estar en línea.

El viernes, alrededor de las 5 am UTC, los atacantes detrás del ciberataque también lograron colocar DNS para matrix.org en un sitio web de eliminación de datos alojado en GitHub usando una clave de API de Cloudflare, que se vio comprometida en el ataque y que se reemplazó en teoría durante la reconstrucción.

Dado que la última modificación confirma que los hash de contraseña encriptados robados se eliminaron de la base de datos de producción, Matrix.org se vio obligada a cerrar la sesión de todos los usuarios y les aconsejó cambiar sus contraseñas de inmediato.

"Esta fue una decisión difícil de hacer. Sopesamos el riesgo de que algunos usuarios pierdan el acceso a los mensajes cifrados contra el de que todas las cuentas de los usuarios sean vulnerables al secuestro a través de los tokens de acceso comprometidos", dice la compañía.

"Esperamos que pueda comprender por qué tomamos la decisión de priorizar la integridad de la cuenta sobre el acceso a los mensajes cifrados, pero lamentamos los inconvenientes que esto pueda haber causado".

La compañía también confirma que también se vieron comprometidas las claves GPG utilizadas para firmar paquetes pero, afortunadamente, los atacantes no las usaron para lanzar versiones maliciosas del software firmado con las claves robadas.

El proyecto Matrix asegura que ambas claves han sido revocadas.

Los encargados del proyecto también dicen que pronto comenzarán a enviar mensajes por correo electrónico a todos los usuarios afectados para informarles sobre el incidente y aconsejarles que cambien sus contraseñas.

Jesus_Caceres