Säkerhetsexperter avslöjar brister i Mastodon

Säkerhetsexperter avslöjar brister i Mastodon

Mastodons växande popularitet, delvis en bieffekt av Elon Musks köp av Twitter, ledde till ett antal upptäckter av sårbarheter i appen.

Cybersäkerhetsforskare som använder plattformen upptäckte nyligen tre separata sårbarheter som kan tillåta hotaktörer att manipulera data eller till och med ladda upp den.

Till exempel upptäckte PortSwigger-forskaren Gareth Heyes en sårbarhet för HTML-injektion. En MinIO säkerhetsingenjör, Lenin Alevski, upptäckte en systemfelkonfiguration som gjorde det möjligt för honom att ladda upp, ändra och till och med ta bort vad som helst i en Mastodon-instanss S3-molnlagringshink, och Anurag Sen hittade en server som anonymt extraherade användardata från Mastodon.

Tusentals nya användare

Varje gång det sker ett tektoniskt skifte på en social medieplattform, bestämmer vissa användare att det är bättre att flytta någon annanstans.

Elon Musks senaste förvärv av Twitter är inte annorlunda, med vissa rapporter som hävdar att Mastodon hade upp till 30 000 nya användare varje dag under dagarna fram till förvärvet (mot 2000 7 per dag). Den 135.000 november välkomnade Mastodon XNUMX XNUMX nya människor.

Ökande popularitet innebär också ökad granskning, vilket inte nödvändigtvis är en dålig sak. Mastodon har alltid setts som ett bra alternativ till Twitter, och att upptäcka och åtgärda olika sårbarheter kan bara göra det till en starkare konkurrent.

Till skillnad från Bluebird är Mastodon en decentraliserad social plattform som består av ett antal servrar som kan kommunicera med varandra men i huvudsak fungerar separat, med separata regler och inställningar. Dessa servrar och gemenskaper kallas instanser.

Melissa Bischoping, direktör och forskningsspecialist inom slutpunktssäkerhet (öppnas i en ny flik) på Tanium, varnade i tal till publikationen, varnade användare att inte dela känslig data (öppnas i en ny flik) via plattformen.

"Använd inte Mastodon för att skicka känslig, personlig eller privat information som du ändå inte skulle känna dig bekväm med att lägga ut", sa han.

Via: Dark Reading (öppnas i en ny flik)