Hafta sonu boyunca bilgisayar korsanları, Discord’da düzenlenen ve Discord uygulamaları kullanılarak gerçekleştirilen devam eden spam saldırılarını gerçekleştirmek için Mastodon gibi federal sosyal ağları hedef aldı. Ancak Discord, saldırıların kolaylaştırıldığı sunucuyu henüz kaldırmadı ve Mastodon topluluk liderleri de şirketten kimseye ulaşamadı.
ActivityPub protokolü üzerine kurulu merkezi olmayan sosyal platformlardan oluşan bir ağ olan federal evrende güven ve güvenlik sorunları üzerinde düzenli olarak çalışan yazılım mühendisi Emelia Smith, “Saldırılar Discord aracılığıyla koordine edildi ve yazılım Discord aracılığıyla dağıtıldı” dedi. “Doğrudan Discord ile entegre olan botlar kullanıyorlardı, böylece kullanıcının herhangi bir sunucu veya buna benzer bir şey kurmasına bile gerek kalmıyordu, çünkü saldırıyı gerçekleştirmek için bu botu doğrudan Discord’dan çalıştırabiliyorlardı.”
Smith, 17 Şubat’ta resmi kanallar aracılığıyla Discord’la iletişime geçmeye çalıştı ancak hâlâ yalnızca form yanıtları aldı. TechCrunch’a, Discord’un bireysel kullanıcıları veya mesajları raporlamak için mekanizmaları olmasına rağmen, tüm sunucuları raporlamak için net bir yöntemden yoksun olduğunu söyledi.
Smith, TechCrunch tarafından görüntülenen bir e-postada Discord Trust & Safety’ye şunları yazdı: “Mastodon, Misskey ve diğerlerinin sunucu yöneticilerinin altyapı maliyetlerine ve genel olarak hizmet reddine yüzlerce veya binlerce dolara mal olduğunu gördük.” “Tek ortak bağlantı bu discord sunucusu gibi görünüyor.”
TechCrunch’a yaptığı açıklamada bir Discord sözcüsü şunları söyledi: “Discord’un Hizmet Şartları, spam veya istenmeyen toplu mesajlar veya etkileşimler göndermek de dahil olmak üzere Discord kullanıcılarının deneyimini bozan veya değiştiren faaliyetler anlamına gelen platformun kötüye kullanılmasını özellikle yasaklıyor.” Discord durumu izlediğini söylese de spam saldırılarından sorumlu sunucu hâlâ çevrimiçi durumda.
Mastodon’un kurucusu ve CEO’su Eugen Rochko bir gönderide söyledi Bu saldırıların denetlenmesinin geçmiş saldırılara göre daha zor olduğu, çünkü kasıtlı olarak daha az denetleme aracına sahip olan daha küçük sunucuları hedef aldıkları belirtiliyor. Bu sunuculardan bazıları açık kayıt sunarak hızlı bir şekilde yeni hesap başlatmayı ve spam göndermeyi mümkün kılar. Smith’in belirttiği gibi, bu toplu spam saldırıları sunucu maliyetlerini artırabilir ve yöneticilerin beklenmedik faturalarla karşı karşıya kalmasına neden olabilir.
Buna göre raporlar Mastodon’a yapılan bu tam otomatik saldırı, bir anlaşmazlık iki farklı Japonca Discord sunucusundaki gençler arasında.
Smith, TechCrunch’a şunları söyledi: “Bu çocukların esasen okul bahçesindeki zorbalar gibi davrandıkları tuhaf bir sosyal davranış.” Saldırıyı, bu sosyal ağlara karşı herhangi bir kötü niyetleri olduğu için değil, sadece yapabileceklerini göstermek için gerçekleştirdiklerini düşünüyor.
“Duygusal ve psikolojik olarak bulundukları durumun çok üzerinde teknolojik yeteneklere sahipler” dedi.
Siber güvenlik uzmanı Kevin Beaumont, Mastodon’da bu olayın 2016’da üç üniversite çocuğunun Minecraft’tan para kazanmak için bir botnet oluşturduğu benzer ama çok daha büyük bir saldırıyı hatırlattığını belirtti. Ama onların inşa ettiği şey çok güçlü Reddit ve Spotify gibi siteler de dahil olmak üzere internetin büyük bir bölümünü çökertmeyi başarmıştı.
“Bu konuyla ilgili NPR’de bir radyo programı yapmam gerekiyordu ve sunucu bana sürekli onun Putin olup olmadığını sorup duruyordu; ben de hayır, gençler diyordum. İleri Düzeyde Kalıcı Gençler,” Beaumont gönderildi.
Merkezi olmayan bir sosyal medya ağı olarak Mastodon’un ekibi, sahip olmadıkları sunuculardaki denetim sorunlarına müdahale edemiyor, bu da federal evren için bir güvenlik açığıdır. Aktif olarak bakımı yapılan ve denetlenen sunucularda Mastodon, CAPTCHA’lar gibi otomatik hesap kaydını önleyen araçlar sunar.
Mastodon’un kâr amacı gütmeyen açık kaynak modeli, kullanıcılara sosyal medya deneyimleri üzerinde daha fazla sahiplik sağlarken, aynı zamanda şirketin daha fazla geliştiriciyi işe alma olanağını da sınırlıyor. Sosyal ağın çoğu, Smith’in kendisi gibi gönüllüler tarafından yönetiliyor.
“Tüm federal evrenin belki de en iyi ihtimalle 100 mühendisin sırtından geliştirildiğini tahmin ediyorum” dedi. “Hepsi düşük ücretli, az ücretli veya ücretsiz yazılım geliştirmeye çalışan ve aynı zamanda 1,1 milyon ila 7,4 milyon aralığındaki aylık aktif kullanıcı tabanını destekliyor.”