Saat Mastodon mengalami pertumbuhan pengguna yang eksplosif sebagai pengganti Twitter, pakar infosec menunjukkan lubang keamanan di jaringan media sosial. Dari server anonim yang mengumpulkan informasi pengguna hingga kesalahan konfigurasi yang menciptakan kerentanan, peningkatan popularitas platform mengarah pada peningkatan pengawasan terhadap kekurangannya.
Tidak seperti aplikasi media sosial lainnya, yang memiliki otoritas pusat, Mastodon adalah federasi server yang dapat berkomunikasi satu sama lain, tetapi dikelola dan dijalankan secara terpisah oleh admin independen. Itu berarti aturan yang berbeda, konfigurasi yang berbeda, dan terkadang versi perangkat lunak yang berbeda dapat berlaku untuk pengguna dan postingan yang berbeda.
Salah satu "instance" paling populer โ istilah Mastodon untuk server/komunitas individual โ untuk komunitas keamanan siber adalah infosec.exchange, dan anggotanya pasti memeriksa konfigurasinya. Gareth Heyes (@gaz di infosec.exchange), seorang peneliti di PortSwigger, menemukan sebuah Kerentanan injeksi HTML yang berasal dari atribut garpu perangkat lunak tertentu yang digunakan.
Dalam contoh lain dari baru-baru ini Artikel Minggu Keamanan, Lenin Alevski (@alevsk di infosec.exchange), seorang insinyur perangkat lunak keamanan di MiniO, menunjukkan kesalahan konfigurasi sistem yang akan memungkinkannya untuk mengunduh, memodifikasi, atau menghapus semua yang ada di bucket penyimpanan cloud S3 instance.
Akhirnya, peneliti Anurag Sen (@hak1mlukha di infosec.exchange) menemukan server anonim itu mengorek data pengguna Mastodon.
Pengguna Twitter Berduyun-duyun ke Mastodon
Hingga baru-baru ini, Mastodon dianggap sebagai bagian dari media sosial bawah tanah, sebuah alternatif dari Twitter yang dibuat pada tahun 2016 sebagai pintu keluar darurat dalam menghadapi rumor pembelian. Ketika Elon Musk pertama kali setuju untuk membeli raksasa microblogging pada bulan April, Mastodon memperoleh 30,000 pengguna baru dalam sehari, dibandingkan dengan pertumbuhan biasa di bawah 2,000 sehari. Tapi itu setetes dalam ember dibandingkan dengan 135,000 pengguna baru yang bergabung pada 7 November.
โPerlakukan Fediverse dan contoh Mastodon mana pun sebagai tempat untuk berbagi informasi, terhubung, dan berkolaborasi dengan cara yang sama seperti Anda melakukan hal-hal itu secara langsung di alun-alun kota atau kedai kopi umum. Singkatnya, jangan gunakan Mastodon untuk mengirim informasi sensitif, pribadi, atau pribadi yang Anda tidak akan merasa nyaman mempostingnya secara publik, โkata Melissa Bischoping, direktur dan spesialis penelitian keamanan titik akhir di Tanium, melalui email.
โSelain kode, cara Mastodon tersegmentasi berarti satu atau dua orang yang mengelola contoh tertentu adalah mata rantai yang lemah dalam model keamanan,โ tambah David Maynor, direktur senior intelijen ancaman di Cybrary. โSaran pindahan saya adalah dengan tegas 'pembeli berhati-hatilah.'โ
Tentu saja, Twitter is tidak orang asing untuk keamanan masalah, sehingga peringatan emptor bersifat abadi dan universal.
