Серверы jabber.ru были подвергнуты MITM атаке со стороны провайдеров Hetzner и Linode.
20 октября 2023 года администратор jabber.ru (xmpp.ru) сообщил о выявлении MITM атаки, которая продолжалась в течение нескольких месяцев в сетях немецких хостинг-провайдеров Hetzner и Linode. Атака была организована путем перенаправления трафика через транзитный узел, который подменял TLS сертификаты для зашифрованных XMPP соединений, использующих расширение STARTTLS. Атакующие выпустили собственный SSL сертификат с помощью Let’s Encrypt и перехватывали подключения к TCP порту 5222. Инцидент был обнаружен из-за технической ошибки со стороны атакующих, которые не продлили использованный ими TLS сертификат для подделки.
Команда проекта подозревает, что атака могла быть совершена с ведома провайдеров по требованию правоохранительных органов. Возможность перехвата и модификации XMPP трафика позволила атакующим получить доступ ко всем данным, связанным с учетными записями, включая хранимую на сервере историю обмена сообщениями. Кроме того, атакующие имели возможность отправлять сообщения от лица других пользователей и вносить изменения в чужие сообщения. Однако сообщения, отправленные с использованием схемы сквозного шифрования (OMEMO, OTR, PGP), могут считаться не скомпрометированными, при условии подтверждения ключей шифрования пользователями на обеих сторонах соединения.
