Una serie di difetti nella sicurezza del software Mastodon sono stati scoperti a seguito della crescente popolarità del programma, che può essere parzialmente attribuita all’acquisizione di Twitter da parte di Elon Musk. I ricercatori che lavorano nel campo della sicurezza informatica e utilizzano la piattaforma hanno scoperto tre distinte vulnerabilità che, se sfruttate, possono consentire a malintenzionati di manipolare i dati e persino di scaricarli.
Ad esempio, Gareth Heyes, un ricercatore di PortSwigger, ha scoperto un difetto sotto forma di una vulnerabilità HTML injection. Lenin Alevski, un ingegnere del software di sicurezza presso MinIO, ha scoperto una configurazione errata del sistema che gli ha dato la possibilità di scaricare, modificare e persino eliminare tutto ciò che era archiviato nel bucket di archiviazione cloud S3 di un’istanza Mastodon. Anurag Sen ha scoperto un server anonimo che stava raschiando i dati degli utenti di Mastodon.
Mastodon potrebbe includere alcuni difetti
Nei giorni precedenti al recente acquisto di Twitter da parte di Elon Musk, alcune fonti suggeriscono che Mastodon avesse fino a 30.000 nuovi utenti che si univano alla piattaforma ogni singolo giorno. Questa è una situazione simile alla situazione in cui si è trovato di recente Elon Musk. Il 7 novembre c’erano 135.000 nuovi individui che si univano a Mastodon.
Una crescita della propria popolarità è accompagnata da un aumento del proprio controllo, che non è sempre una cosa negativa. L’identificazione e la correzione di diversi punti deboli in Mastodon dovrebbero servire solo a rafforzarlo come valida alternativa a Twitter, che tradizionalmente è stata vista come un’opzione decente.
Melissa Bischoping, direttrice ed esperta di ricerca sulla sicurezza degli endpoint presso Tanium, ha riferito :”Non utilizzare Mastodon per comunicare materiale che possa essere considerato sensibile, personale o privato, soprattutto se non ti senti a tuo agio nel pubblicarlo comunque pubblicamente”.