Kuna Mastodon kogeb Twitteri asendajana plahvatuslikku kasutajate kasvu, juhivad infoseci eksperdid tähelepanu sotsiaalmeediavõrgustiku turvaaukudele. Alates anonüümsest kasutajateavet koguvast serverist kuni haavatavusi tekitavate konfiguratsioonivigadeni – platvormi populaarsuse kasv toob kaasa selle puuduste suurema kontrolli.
Erinevalt teistest sotsiaalmeediarakendustest, millel on keskne asutus, on Mastodon serverite liit, mis suudab omavahel suhelda, kuid mida hooldavad ja juhivad eraldi sõltumatud administraatorid. See tähendab, et erinevatele kasutajatele ja postitustele võivad kehtida erinevad reeglid, erinevad konfiguratsioonid ja mõnikord erinevad tarkvaraversioonid.
Üks populaarsemaid "juhtumeid" - Mastodoni termin üksikute serverite/kogukondade jaoks - küberturvalisuse kogukonna jaoks on infosec.exchange ja selle liikmed kontrollivad kindlasti selle konfiguratsiooni. PortSwiggeri teadlane Gareth Heyes (@gaz infosec.exchange'is) avastas HTML-i süstimise haavatavus mis tulenevad konkreetse kasutatud tarkvarakahvli atribuutidest.
Veel üks näide hiljutisest Turvanädala artikkel, Lenin Alevski (@alevsk on infosec.exchange), MinIO turbetarkvara insener, juhtis tähelepanu süsteemi vale konfiguratsioon mis võimaldaks tal alla laadida, muuta või kustutada kõik eksemplari S3 pilvesalvestuse ämbris.
Lõpuks avastas uurija Anurag Sen (@hak1mlukha saidil infosec.exchange) anonüümse serveri, mis oli Mastodoni kasutajaandmete kraapimine.
Twitteri kasutajad kogunevad Mastodonisse
Kuni viimase ajani peeti Mastodonit sotsiaalmeedia põrandaaluse osaks, alternatiiviks Twitterile, mis loodi 2016. aastal põgenemisluugina silmitsi väljaostmise kuulujutud. Kui Elon Musk nõustus esimest korda aprillis mikroblogimise behemoti ostma, sai Mastodon sellest kasu 30,000 uut kasutajat päevas, võrreldes tüüpilisema kasvuga alla 2,000 päevas. Kuid see on tilk ämbrisse võrreldes 135,000 uut kasutajat kes liitusid 7. nov.
"Kohtlege Fediverse'i ja kõiki Mastodoni eksemplare teabe jagamise, ühenduse loomise ja koostöö kohana samamoodi, nagu teeksite neid asju isiklikult linnaväljakul või avalikus kohvikus. Lühidalt öeldes, ärge kasutage Mastodonit tundliku, isikliku või privaatse teabe saatmiseks, mida te niikuinii poleks mugav avalikult postitada, "ütles Taniumi direktor ja lõpp-punktide turbeuuringute spetsialist Melissa Bischoping meili teel.
"Lisaks koodile tähendab Mastodoni segmenteerimine seda, et üks või kaks inimest, kes konkreetset eksemplari haldavad, on turbemudeli nõrk lüli," lisas Cybrary ohuluure vanemdirektor David Maynor. "Minu liigutav nõuanne on kindlalt "ostja ettevaatust".
Muidugi, puperdama is ei võõras et turvalisus küsimustesnii müük ostja riisikol on ajatu ja universaalne.
