Οι επαγγελματίες της κυβερνοασφάλειας βάζουν τα ελαττώματα του Mastodon στο μικροσκόπιο

Καθώς το Mastodon βιώνει εκρηκτική ανάπτυξη χρηστών ως αντικατάσταση του Twitter, οι ειδικοί της infosec επισημαίνουν τρύπες ασφαλείας στο δίκτυο κοινωνικής δικτύωσης. Από έναν ανώνυμο διακομιστή που συλλέγει πληροφορίες χρήστη έως σφάλματα διαμόρφωσης που δημιουργούν τρωτά σημεία, η αυξημένη δημοτικότητα της πλατφόρμας οδηγεί σε αυξημένο έλεγχο των ελαττωμάτων της.

Σε αντίθεση με άλλες εφαρμογές κοινωνικών μέσων, οι οποίες έχουν κεντρική εξουσία, το Mastodon είναι μια ομοσπονδία διακομιστών που μπορούν να επικοινωνούν μεταξύ τους, αλλά που διατηρούνται και εκτελούνται ξεχωριστά από ανεξάρτητους διαχειριστές. Αυτό σημαίνει ότι διαφορετικοί κανόνες, διαφορετικές διαμορφώσεις και μερικές φορές διαφορετικές εκδόσεις λογισμικού θα μπορούσαν να ισχύουν για διαφορετικούς χρήστες και αναρτήσεις.

Μία από τις πιο δημοφιλείς "περιπτώσεις" - ο όρος Mastodon για μεμονωμένους διακομιστές/κοινότητες - για την κοινότητα της κυβερνοασφάλειας είναι το infosec.exchange και τα μέλη του σίγουρα ελέγχουν τη διαμόρφωσή του. Ο Gareth Heyes (@gaz στο infosec.exchange), ερευνητής στο PortSwigger, αποκάλυψε ένα Ευπάθεια ένεσης HTML που προέρχονται από χαρακτηριστικά του συγκεκριμένου πιρουνιού λογισμικού που χρησιμοποιείται.

Σε άλλο παράδειγμα από ένα πρόσφατο Άρθρο της Εβδομάδας Ασφάλειας, ο Λένιν Αλέφσκι (@alevsk στο infosec.exchange), μηχανικός λογισμικού ασφαλείας στο MinIO, επεσήμανε ένα εσφαλμένη διαμόρφωση συστήματος που θα του επέτρεπε να κατεβάσει, να τροποποιήσει ή να διαγράψει τα πάντα στον κάδο αποθήκευσης cloud S3 της παρουσίας.

Τελικά, ο ερευνητής Anurag Sen (@hak1mlukha στο infosec.exchange) ανακάλυψε έναν ανώνυμο διακομιστή που ήταν απόξεση δεδομένων χρήστη Mastodon.

Οι χρήστες του Twitter συρρέουν στο Mastodon

Μέχρι πρόσφατα, το Mastodon θεωρούνταν μέρος του underground των μέσων κοινωνικής δικτύωσης, μια εναλλακτική λύση στο Twitter που δημιουργήθηκε το 2016 ως καταπακτή διαφυγής στο πρόσωπο του φήμες εξαγοράς. Όταν ο Elon Musk συμφώνησε για πρώτη φορά να αγοράσει το μεγαθήριο του microblogging τον Απρίλιο, η Mastodon κέρδισε 30,000 νέους χρήστες σε μια ημέρα, σε σύγκριση με μια πιο τυπική αύξηση κάτω των 2,000 ημερησίως. Αλλά αυτό είναι μια σταγόνα στον κάδο σε σύγκριση με το 135,000 νέους χρήστες που εντάχθηκε στις 7 Νοεμβρίου.

«Αντιμετωπίστε το Fediverse και κάθε παράδειγμα Mastodon ως ένα μέρος για να μοιραστείτε πληροφορίες, να συνδεθείτε και να συνεργαστείτε με τον ίδιο τρόπο που θα κάνατε αυτά τα πράγματα αυτοπροσώπως σε μια πλατεία της πόλης ή ένα δημόσιο καφέ. Εν ολίγοις, μην χρησιμοποιείτε το Mastodon για να στείλετε ευαίσθητες, προσωπικές ή ιδιωτικές πληροφορίες που δεν θα νιώθατε άνετα να δημοσιεύσετε δημόσια ούτως ή άλλως», δήλωσε η Melissa Bischoping, διευθύντρια και ειδικός στην έρευνα ασφάλειας τελικού σημείου στο Tanium, μέσω email.

«Εκτός από τον κώδικα, ο τρόπος με τον οποίο τμηματοποιείται το Mastodon σημαίνει ότι ένα ή δύο άτομα που διαχειρίζονται μια συγκεκριμένη περίπτωση είναι ο αδύναμος κρίκος στο μοντέλο ασφαλείας», πρόσθεσε ο David Maynor, ανώτερος διευθυντής πληροφοριών απειλών στο Cybrary. «Η συγκινητική συμβουλή μου είναι κατηγορηματικά «αγοραστής να προσέχεις».

Φυσικά, Twitter is Όχι. ξένος προς την ασφάλεια θέματα, Οπότε προπαγανδιστής είναι διαχρονικό και παγκόσμιο.