Эксперты по безопасности обнажают недостатки Mastodon
24 ноября 2022 г.Растущая популярность Mastodon, отчасти являющаяся побочным эффектом покупки Twitter Илоном Маском, вызвала волну обнаружений уязвимостей в приложении.
Исследователи кибербезопасности, использующие платформу, недавно обнаружили три отдельные уязвимости, которые может позволить злоумышленникам подделывать данные и даже загружать их.
Например, исследователь PortSwigger Гарет Хейес обнаружил уязвимость, связанную с внедрением HTML. Инженер-программист безопасности из MinIO, Ленин Алевски, обнаружил неправильную конфигурацию системы, которая позволяла ему загружать, изменять и даже удалять все, что находилось в экземпляре Mastodon S3 облачное хранилище, и Анураг Сен обнаружил анонимный сервер, собирающий данные пользователей Mastodon.
Тысячи новых пользователей
Каждый раз, когда на платформе социальной сети происходит тектоническое движение, некоторые пользователи решают, что лучше просто переместиться в другое место.
Недавнее приобретение Илоном Маском Twitter ничем не отличается: в некоторых отчетах утверждается, что Mastodon привлекало до 30 000 новых пользователей каждый день в дни, предшествующие приобретению (по сравнению с обычными 2 000 в день). день). 7 ноября у Mastodon появилось 135 000 новых пользователей.
Рост популярности также означает повышенное внимание, что не обязательно плохо. Mastodon всегда воспринимался как хорошая альтернатива Twitter, а обнаружение и устранение различных уязвимостей может только сделать его более сильным конкурентом.
> Mastodon будет проиграть Hive как 'следующий Twitter' если это не решит 3 большие проблемы
> Пока мы хороним Твиттер, пришло время выкопать мастодонта
> Сейчас это лучшие приложения для проверки подлинности
В отличие от синей птицы, Mastodon — это децентрализованная социальная платформа, состоящая из ряда серверов, которые могут взаимодействовать друг с другом, но по существу работают отдельно, с отдельными правилами и конфигурациями. Эти серверы и сообщества называются экземплярами.
В интервью изданию Мелисса Бишопинг, директор по защите конечных точек специалист по исследованиям в Tanium предупредил пользователей о недопустимости обмена конфиденциальными данными. через платформу.
"Не используйте Mastodon для отправки конфиденциальной, личной или конфиденциальной информации, которую вам в любом случае неудобно публиковать в открытом доступе", – сказала она.
- Познакомьтесь с лучшими брандмауэрами
Через: темное чтение
Оригинал