Mai multe instanțe ale platformei de social media Mastodon sunt vulnerabile la probleme de configurare a sistemului, avertizează cercetătorul de securitate Lenin Alevski.
Exodul foștilor utilizatori de Twitter ca răspuns la tulburările care au însoțit preluarea Twitter de către Elon Musk au adus în centrul atenției Mastodon.
A devenit locul de întâlnire pentru mulți membri ai comunități infosec care au schimbat tweeting-ul cu tooting-ul pe această platformă.
Cu toate acestea, cercetătorii în domeniul securității, precum, Lenin Alevski și Gareth Heyes de la PortSwigger, au considerat că Mastodon nu este sufient de matur în materie de securitate.
Lenin Alevski a descoperit recent că instanța infosec.exchange a Mastodon a fost încărcată în module de stocare care nu au reușit să aplice controale de acces.
Acest neajuns, explicat într-o postare tehnică pe blog, a făcut posibil ca un atacator să acceseze poza de profil a unui utilizator sau orice alte date încărcate și să le înlocuiască cu un conținut arbitrar.
Vulnerabilitatea a însemnat că a fost posibilă descărcarea fișierelor de pe server, inclusiv a celor partajate prin mesaje direct.
Mastodon spre deosebire de Twitter nu oferă criptare în mesaje directe (DM).
De aemenea, au fost posibile atacuri distructive, inclusiv ștergerea fișierelor de pe server.
Probleme rezolvate
Deficiența de securitate a fost rezolvată rapid după ce Lenin Alevski a raportat prolema lui Jerry Bell, administratorul care administrează instanța infosec.excange.
Jerry Bell a declarat pentru The Daily Swing:
A fost vorba de de o politică de acces neconfigurată greșit pe bucket. Nu eliminasem accesul la scriere din calea de acces implicată.
Într-o postare pe blog publicată după ce problema a fost rezolvată, Lenin Alevski a adăugt că:
O configurație greșită a sistemului la nivel de stocare a obiectelor învinge orice mecanism de securitate pe care Mastodon îl are deasupra.
Lenin Alevski a concluzionat prin a avertizat că infosec.excange este de departe de a fi un caz izolat de probleme de configurare în ecosistemului Mastodon.
Cercetătorul în domeniul securității a continuat să descopere configurații greșite în alte instanțe Mastodon.