Mastodon, Twitter’ın yerini alarak patlayıcı bir kullanıcı artışı yaşarken, bilgi güvenliği uzmanları sosyal medya ağındaki güvenlik açıklarına dikkat çekiyor. Kullanıcı bilgilerini toplayan anonim bir sunucudan güvenlik açıkları oluşturan yapılandırma hatalarına kadar, platformun artan popülaritesi, kusurlarının daha fazla incelenmesine yol açıyor.
Merkezi bir otoriteye sahip diğer sosyal medya uygulamalarından farklı olarak Mastodon, birbiriyle haberleşebilen ancak bağımsız yöneticiler tarafından ayrı ayrı bakımı yapılan ve çalıştırılan bir sunucular federasyonudur. Bu, farklı kullanıcılar ve gönderiler için farklı kurallar, farklı yapılandırmalar ve bazen farklı yazılım sürümlerinin geçerli olabileceği anlamına gelir.
Siber güvenlik topluluğu için en popüler “örneklerden” biri – bireysel sunucular/topluluklar için Mastodon terimi – infosec.exchange’tir ve üyeleri kesinlikle yapılandırmasını inceler. PortSwigger’de araştırmacı olan Gareth Heyes (@gaz on infosec.exchange), bir HTML enjeksiyon güvenlik açığı kullanılan belirli yazılım çatalının özelliklerinden kaynaklanır.
Yakın tarihli bir başka örnekte Güvenlik Haftası makalesiMinIO’da bir güvenlik yazılımı mühendisi olan Lenin Alevski (@alevsk on infosec.exchange) sistem yanlış yapılandırması bu, örneğin S3 bulut depolama grubundaki her şeyi indirmesine, değiştirmesine veya silmesine olanak tanır.
Son olarak, araştırmacı Anurag Sen (@hak1mlukha on infosec.exchange) anonim bir sunucu keşfetti. Mastodon kullanıcı verilerini kazıma.
Twitter Kullanıcıları Mastodon’a Akın Etti
Yakın zamana kadar Mastodon, 2016’da yaratılan Twitter’a bir alternatif olarak yeraltındaki sosyal medyanın bir parçası olarak görülüyordu. satın alma söylentileri. Elon Musk, Nisan ayında mikroblog devini satın almayı ilk kez kabul ettiğinde, Mastodon kazandı 30.000 yeni kullanıcı günde 2.000’in altındaki daha tipik bir büyümeye kıyasla. Ama bu, kovada bir düşüş. 135.000 yeni kullanıcı 7 Kasım’da katılan.
“Fediverse’i ve herhangi bir Mastodon örneğini, bir kasaba meydanında veya halka açık bir kafede yüz yüze yaptığınız gibi bilgi paylaşmak, bağlantı kurmak ve işbirliği yapmak için bir yer olarak ele alın. Kısacası, Mastodon’u e-posta göndermek için kullanmayın. Tanium’da direktör ve uç nokta güvenlik araştırma uzmanı Melissa Bischoping, e-posta yoluyla, “hassas, kişisel veya özel bilgileri zaten halka açık bir şekilde yayınlamaktan rahatsız olmazsınız” dedi.
Cybrary’de tehdit istihbaratı kıdemli direktörü David Maynor, “Kod dışında, Mastodon’un bölümlere ayrılma şekli, belirli bir örneği yöneten bir veya iki kişinin güvenlik modelindeki zayıf halka olduğu anlamına gelir” dedi. “Taşınma tavsiyem kesinlikle ‘alıcı dikkatli olsun.'”
Elbette Twitter güvenlik konularına yabancı değil, bu yüzden ihtar alıcısı zamansız ve evrenseldir.