Açık kaynak X’in rakibi Mastodon, Misskey ve diğer uygulamaları etkileyen bir spam saldırısı, federal evren olarak da bilinen merkezi olmayan sosyal ağın ne kadar kötüye kullanıma açık olduğunu ortaya koyuyor. Geçtiğimiz birkaç gün boyunca saldırganlar, spam hesaplarının oluşturulmasını otomatikleştirmek için açık kayıtlardan yararlanarak daha küçük Mastodon sunucularını hedef aldı. Mastodon’un kurucusu ve CEO’su Eugen Rochko Saldırıyı bir gönderiyle doğruladı hafta sonu, Mastodon sunucu yöneticilerinin sorunla mücadeleye yardımcı olmak için kaydı onay moduna geçirmeleri ve imha e-posta sağlayıcılarını engellemeleri gerektiğini ekledi.
Bu, Fediverse’i etkileyen ilk spam saldırısı olmasa da Rochko, yalnızca daha büyük sunucuların Mastodon.sosyal Daha önce hedef alınmıştı. Bu sunucu Mastodon’un kendi ekibi tarafından çalıştırıldığından, bu saldırıları kendileri hafifletebildiler. Bu kez farklı olan şey, spam gönderenlerin, açık kayıt olanağı sunan daha küçük ve hatta terk edilmiş sunucuları hedef alması ve böylece kötü aktörlerin hızlı bir şekilde hesap oluşturmasına ve spam oluşturmasına olanak sağlamasıdır.
Saldırganlar spam komut dosyası yazabileceklerini öğrendiklerinde tamamen otomatikleştirilen bu özel saldırı, bir anlaşmazlığın neden olduğu Mastodon’daki haberlere göre, Discord’da iki taraf arasında bir taraf diğer tarafın Discord sunucusunu yasaklatmaya çalışıyordu. (Daha fazla detay bunun üzerine burada.) Spam gönderenlerin çoğunun diğer hedefleri Yalnız Mastodon değildi, aynı zamanda hedef alıyorlardı Misskey. (Misskey, Mastodon, Pixelfed, PeerTube ve diğerleri gibi ActivityPub protokolünü kullanan, kullanıcılarının diğer birleştirilmiş sosyal platformlardaki kullanıcılarla etkileşime girmesine olanak tanıyan açık kaynaklı, merkezi olmayan bir blog platformudur.) Spam’in kaynakları olarak Japon forumu gibi görünüyorHedeflerin çoğu da Japonya’daydı.
Spam saldırısı, federal evrenin yapısından kaynaklanan zayıflıklardan birinin altını çizdi. Mastodon, herkesin kendi sunucusuna yükleyebileceği, esas olarak kendi örneğini veya düğümünü kurarak diğer federe sosyal ağ sunucularına bağlanan ve ActivityPub protokolü tarafından desteklenen açık kaynaklı bir yazılımdır.
Mastodon’un küçük sunucuları genellikle meraklılar tarafından yürütülen hobi amaçlı projeler olduğundan, bu tür saldırılara karşı savunmasızdılar. Sunucu yöneticileri sunucularına günlük olarak dikkat etmiyorsa ve açık kayıt teklif ediyorsa, muhtemelen spam kurbanı olmuşlardır.
Veya bir sunucu yöneticisi olarak, @[email protected] “Bazı bulut sunucusu yöneticilerine bir bulut sunucusunun olduğu hatırlatıldı. Ayrıca onay olmadan kayıt için kapıları ardına kadar açık olan BİRÇOK terkedilmiş örneğin bulunduğunu da öğrendik.”
Son birkaç gün içinde sunucu yöneticiler birlikte çalıştı ile devam eden listeler oluştur diğer yöneticilerin kendi kullanıcılarını spam saldırılarından korumak amacıyla bir engellenenler listesi için temel olarak kullanabileceği terkedilmiş örneklerden oluşan bir liste. Yöneticileri saldırıyı beklemenin veya Mastodon’u tamamen terk etmenin en kolay yol olacağına karar verdiği için birçok sunucu kapatıldı.
Tapbots’un popüler üçüncü taraf Mastodon uygulaması Ivory, acil durum güncellemesi yayınladı Filtre sekmesinde, kullanıcıların spam’den bahsedenleri susturmalarına olanak tanıyan “Potansiyel Spam” adlı özel bir filtre vardı. Şirket, etkilenen kullanıcıların spam’in çoğunu yakalamak için bu filtreyi açabildiğini ancak spam anlık bildirimlerini durduramadıklarını söyledi.
Saldırının bu sabah itibariyle sona erdiği görülüyor. Teknoloji uzmanı ve araştırmacı Tim Chambers (@[email protected]) bugünün, örneğin yönettiği sunucuda askıya alınması gereken 40’tan az spam hesabının dört gün içinde ilk gün olduğunu kaydetti. Mastodon, TechCrunch’a reaktif bir moderasyon ekibine sahip aktif sunucularda Mastodon’un otomatik hesap kaydını önlemek için onay modu, CAPTCHA’lar ve çeşitli engelleme araçları dahil olmak üzere birden fazla araca sahip olduğunu, böylece saldırganın çok hızlı bir şekilde ele alındığını söylüyor. Ayrıca, iki hacker grubunun görünüşe göre barış yapması nedeniyle spam saldırısının da sona erdiği belirtildi.
Bazıları bu deneyimi sosyal ağ ve daha geniş federal evren için olumlu olarak görürken, artık tartışılabilecek ve ele alınabilecek bir zayıflığı ortaya çıkardı, diğerleri ise deneyime ve Rochko’nun saldırının ilk saatlerinde yanıt vermemesine kızdı.
“Bu benim için Mastodon deneyimimi mahvediyor. Bir Mastodon sunucu yöneticisi şunu yazdı: “Bu bende çekip gitme ve pes etme isteği uyandırıyor.” [email protected]. “Ve Eugen’in soruna ilişkin devam eden sessizliği buna yardımcı olmuyor” dediler.
Mastodon’un CTO’su Renaud Chaput, saldırının şirketi yazılımını geliştirmeye teşvik edeceğini söyledi.
“Şu anda bunu halledecek iyi bir yerleşik araç yok, çünkü bu karmaşık bir konu; birleşik ağlar kolay değil! — ancak spam ve kötüye kullanımla mücadele özelliklerimizi nasıl geliştirebileceğimiz konusunda birçok fikrimiz var” dedi. “Önümüzdeki aylarda bunlar üzerinde çalışılacak. Her zaman yazılımı geliştirmek için çalışıyoruz (son sürümde isteğe bağlı captcha desteği sunuldu). Bugün aldığımız başka bir önlem de, yeni örneklerin varsayılan olarak tamamen açık olmamasını sağlamak için ayarı değiştirmek ve yöneticilere, tamamen açık örneklerin aktif olarak denetlenmesi gerektiğini, dolayısıyla bunun yönetici tarafından dikkatli bir karar verilmesi gerektiğini hatırlatan bir banner eklemektir. diye ekledi Chaput.
ActivityPub’ı kullanarak birleşmeyi planlayan başka bir Twitter/X rakibi olan Instagram Threads’in gelişinden bu yana Mastodon kullanımı düşüş eğiliminde.
Geçen yılın ekim ayında Mastodon yaklaşık 1,8 milyon aylık aktif kullanıcıyı kapsayacak şekilde büyümüştü. Threads halka açıldığında sayı 1,5 milyona düşmüştü. Farklı bir protokole dayalı başka bir merkezi olmayan sosyal ağ olan Bluesky’nin bu ayki halka açık lansmanı itibarıyla (bu, en azından bir köprü inşa edilene kadar aynı federal evrenin parçası olmadığı anlamına gelir), Mastodon kullanımı düştü Aylık 1 milyon aktif kullanıcıya.
Şirketin ana sayfasına göre Mastodon kullanımının bugün de devam ettiği yer burası. Mastodon ve diğer uygulamaları içeren daha geniş yelpazede, 2,9 milyon aylık aktif kullanıcı. Threads’in bu alana girişi, diğer Mastodon sunucularını gölgede bırakacak ve Meta’nın spam önleme gibi alanlardaki teknik uzmanlığına katkıda bulunacaktır; ancak çoğu kişi, Meta’nın nihai hedefinin, kullanıcıların seçtiği varsayılan istemci haline gelerek ve onu kullanarak federal evreni ele geçirmek olacağından endişe duymaktadır. Meta uygulamasının benimsenmesini ölçeklendirmek için önemli kaynaklar.
Mastodon CTO yorumunu eklemek için 20.02.2024, 13:31 ET güncellendi