Khi Mastodon trải qua sự tăng trưởng bùng nổ của người dùng để thay thế cho Twitter, các chuyên gia bảo mật thông tin đang chỉ ra các lỗ hổng bảo mật trong mạng truyền thông xã hội. Từ một máy chủ ẩn danh thu thập thông tin người dùng đến các lỗi cấu hình tạo ra các lỗ hổng, sự phổ biến ngày càng tăng của nền tảng đang dẫn đến việc tăng cường giám sát các lỗ hổng của nó.
Không giống như các ứng dụng truyền thông xã hội khác có cơ quan trung ương, Mastodon là một liên kết các máy chủ có thể liên lạc với nhau nhưng được quản trị viên độc lập duy trì và điều hành riêng biệt. Điều đó có nghĩa là các quy tắc khác nhau, cấu hình khác nhau và đôi khi các phiên bản phần mềm khác nhau có thể áp dụng cho những người dùng và bài đăng khác nhau.
Một trong những “phiên bản” phổ biến nhất - thuật ngữ Mastodon dành cho các máy chủ/cộng đồng riêng lẻ - đối với cộng đồng an ninh mạng là infosec.exchange và các thành viên của nó chắc chắn sẽ xem xét kỹ lưỡng cấu hình của nó. Gareth Heyes (@gaz trên infosec.exchange), một nhà nghiên cứu tại PortSwigger, đã phát hiện ra một Lỗ hổng HTML injection bắt nguồn từ các thuộc tính của ngã ba phần mềm cụ thể được sử dụng.
Trong một ví dụ khác gần đây Bài báo tuần an ninh, Lenin Alevski (@alevsk trên infosec.exchange), một kỹ sư phần mềm bảo mật tại MinIO, đã chỉ ra một cấu hình sai hệ thống điều đó sẽ cho phép anh ta tải xuống, sửa đổi hoặc xóa mọi thứ trong vùng lưu trữ đám mây S3 của phiên bản.
Cuối cùng, nhà nghiên cứu Anurag Sen (@hak1mlukha trên infosec.exchange) đã phát hiện ra một máy chủ ẩn danh được cạo dữ liệu người dùng Mastodon.
Người dùng Twitter đổ xô đến Mastodon
Cho đến gần đây, Mastodon được coi là một phần của mạng xã hội ngầm, một giải pháp thay thế cho Twitter được tạo ra vào năm 2016 như một lối thoát khi đối mặt với tin đồn mua lại. Khi Elon Musk lần đầu tiên đồng ý mua gã khổng lồ tiểu blog vào tháng XNUMX, Mastodon đã kiếm được 30,000 người dùng mới trong một ngày, so với mức tăng trưởng điển hình hơn là dưới 2,000 một ngày. Nhưng đó chỉ là một giọt nước trong xô so với 135,000 người dùng mới người đã tham gia vào ngày 7 tháng XNUMX.
“Hãy coi Fediverse và bất kỳ phiên bản Mastodon nào là nơi để chia sẻ thông tin, kết nối và cộng tác giống như cách bạn trực tiếp thực hiện những việc đó tại quảng trường thị trấn hoặc quán cà phê công cộng. Nói tóm lại, đừng sử dụng Mastodon để gửi thông tin nhạy cảm, cá nhân hoặc riêng tư mà bạn sẽ không thấy thoải mái khi đăng công khai,” Melissa Bischoping, giám đốc và chuyên gia nghiên cứu bảo mật điểm cuối tại Tanium, cho biết qua email.
David Maynor, giám đốc cấp cao về tình báo mối đe dọa tại Cybrary, cho biết thêm: “Ngoài mã, cách Mastodon được phân đoạn có nghĩa là một hoặc hai người quản lý một phiên bản cụ thể là liên kết yếu trong mô hình bảo mật”. “Lời khuyên chân thành của tôi là 'người mua hãy cẩn thận.'”
Tất nhiên, Twitter is Không người lạ đến an ninh các vấn đề, Vì vậy emptor caveat là vĩnh cửu và phổ quát.
