La crescente popolarità di Mastodon, in parte un effetto collaterale dell'acquisto di Twitter da parte di Elon Musk, ha portato a una serie di scoperte di vulnerabilità nell'app.
I ricercatori di sicurezza informatica che utilizzano la piattaforma hanno recentemente scoperto tre vulnerabilità separate che potrebbero consentire agli attori delle minacce di manipolare i dati o addirittura caricarli.
Ad esempio, il ricercatore di PortSwigger Gareth Heyes ha scoperto una vulnerabilità di HTML injection. Un ingegnere del software di sicurezza MinIO, Lenin Alevski, ha scoperto una configurazione errata del sistema che gli ha permesso di caricare, modificare e persino eliminare qualsiasi cosa nel bucket di archiviazione cloud S3 di un'istanza Mastodon e Anurag Sen ha trovato un server anonimo che estraeva i dati dell'utente da Mastodon.
Migliaia di nuovi utenti
Ogni volta che c'è uno spostamento tettonico su una piattaforma di social media, alcuni utenti decidono che è meglio spostarsi da qualche altra parte.
La recente acquisizione di Twitter da parte di Elon Musk non è diversa, con alcuni rapporti che affermano che Mastodon aveva fino a 30 nuovi utenti ogni giorno nei giorni precedenti l'acquisizione (contro i 000 al giorno). Il 2000 novembre, Mastodon ha accolto 7 nuove persone.
La crescente popolarità significa anche un maggiore controllo, il che non è necessariamente una cosa negativa. Mastodon è sempre stato visto come una buona alternativa a Twitter e scoprire e correggere varie vulnerabilità non può che renderlo un concorrente più forte.
A differenza di Bluebird, Mastodon è una piattaforma social decentralizzata che comprende un numero di server che possono comunicare tra loro ma essenzialmente operano separatamente, con regole e impostazioni separate. Questi server e comunità sono chiamati istanze.
Parlando alla pubblicazione, Melissa Bischoping, direttrice e ricercatrice specializzata in sicurezza degli endpoint (si apre in una nuova scheda) presso Tanium, ha avvertito gli utenti di non condividere dati sensibili (si apre in una nuova scheda) tramite la piattaforma.
"Non utilizzare Mastodon per inviare informazioni confidenziali, personali o private che comunque non ti sentiresti a tuo agio nel pubblicare", ha affermato.
Via: Dark Reading (si apre in una nuova scheda)