Възходът на Mastodon провокира интереса на специалистите по сигурност
Илън Мъск пое юздите на Twitter и запретна ръкави. Какво ще е бъдещето на обществената мрежа под управлението на Мъск, дали зложелателите му ще познаят, че това е края на Twitter или ще направи уеб сайтът „ популярен още веднъж “, следва да забележим. Но измененията, с които стартира известният бизнесмен в компанията беше регистриран и лек отлив на консуматори, което по този начин или другояче се явява наклонност от години в обществената мрежа, която не стопира да се бори с друг по темперамент проблеми. Този отлив от едно място се отразява несъмнено в напор към други уеб сайтове и едно от тези кътчета в Интернет се, че е самостоятелната обществена мрежа Mastodon, за което ви разказахме по-рано този месец.
В началото на ноември основателят на Mastodon се похвали с голям растеж на скромната обществена мрежа и достигането на 1 028 362 дейни месечни консуматори. За сходни уеб сайтове с някой милиардер зад тях този брой може да е позор, само че за самостоятелна медия очевидно си е триумф. И дали заради медийно отразяване или друго, през почивните дни Mastodon се похвалиха с прекосяването на границата от 2 000 000 дейни месечни консуматори. Този интерес към Mastodon е предизвикал обаче вниманието на експерти по сигурност, за което ни споделя Едуард Ковач от страниците на SecurityWeek.
Както към този момент ви разказахме преди, въпреки и да наподобява като интерфейс на Twitter, приликите на Mastodon с известната обществена мрежа завършват тук. Вече споменахме, че това е самостоятелна медия – няма голяма компания с пълен портфейл зад нея и един контролиращ орган, който дефинира разпоредбите. Mastodon съставлява децентрализирана конструкция с голям брой сървъри, за чиято поддръжка и ръководство оказват помощ нейните консуматори. Тези сървъри са подредени тематично и биват наричани „ инстанции “, а разпоредбите на общностите в тях се дефинират от самите тях.
Една от тези инстанции стартира да получава уместно внимание от страна на експерти по сигурност напоследък. Както може и да се допусна става дума за сървъра, който се явява средищно място за запалянковци и експерти в региона на осведомителната сигурност – infosec.exchange. Освен, че са разпознали проблеми, свързани с тази съответна инстанция, те са разкрили и такива, които може да обиден цялата обществена мрежа. Като да вземем за пример добре известна накърнимост, обвързвана с опцията за „ инжектиране “ на случаен HTML код и кражба на потребителски записи, открита от Гарет Хейс от PortSwigger. Проблемът засягал версия на Mastodon, наречена Glitch и след отчета му, към този момент е оправен.
Друг проблем, този път не на накърнимост, а неправилно конфигурирана инстанция, който е можело да се употребява за свалянето на всички данни на сървъра е открит от Ленин Алевски от MinIO. Същата неточност е можело да разреши свалянето на файлове, разменяни посредством директните известия сред потребителите на платформата и дори изтриването на всички файлове на сървъра. Администриращият infosec.exchange бързо поправил грешката, само че Алевски разкрил същия проблем и на други инстанции на Mastodon.
Друг експерт по осведомителна сигурност разкрил предходната седмица, че някой събира персонални данни от Mastodon. Анураг Сен се натъкнал на база данни с над 150 000 консуматори, която включвала псевдоними, имена, с които се били записали потребителите, брой на сметките, които следва и които го следват. За благополучие пароли нямало. Но имало имейл адреси, което може да спомогне за реализирането на фишинг офанзиви.
В началото на ноември основателят на Mastodon се похвали с голям растеж на скромната обществена мрежа и достигането на 1 028 362 дейни месечни консуматори. За сходни уеб сайтове с някой милиардер зад тях този брой може да е позор, само че за самостоятелна медия очевидно си е триумф. И дали заради медийно отразяване или друго, през почивните дни Mastodon се похвалиха с прекосяването на границата от 2 000 000 дейни месечни консуматори. Този интерес към Mastodon е предизвикал обаче вниманието на експерти по сигурност, за което ни споделя Едуард Ковач от страниците на SecurityWeek.
Както към този момент ви разказахме преди, въпреки и да наподобява като интерфейс на Twitter, приликите на Mastodon с известната обществена мрежа завършват тук. Вече споменахме, че това е самостоятелна медия – няма голяма компания с пълен портфейл зад нея и един контролиращ орган, който дефинира разпоредбите. Mastodon съставлява децентрализирана конструкция с голям брой сървъри, за чиято поддръжка и ръководство оказват помощ нейните консуматори. Тези сървъри са подредени тематично и биват наричани „ инстанции “, а разпоредбите на общностите в тях се дефинират от самите тях.
Една от тези инстанции стартира да получава уместно внимание от страна на експерти по сигурност напоследък. Както може и да се допусна става дума за сървъра, който се явява средищно място за запалянковци и експерти в региона на осведомителната сигурност – infosec.exchange. Освен, че са разпознали проблеми, свързани с тази съответна инстанция, те са разкрили и такива, които може да обиден цялата обществена мрежа. Като да вземем за пример добре известна накърнимост, обвързвана с опцията за „ инжектиране “ на случаен HTML код и кражба на потребителски записи, открита от Гарет Хейс от PortSwigger. Проблемът засягал версия на Mastodon, наречена Glitch и след отчета му, към този момент е оправен.
Друг проблем, този път не на накърнимост, а неправилно конфигурирана инстанция, който е можело да се употребява за свалянето на всички данни на сървъра е открит от Ленин Алевски от MinIO. Същата неточност е можело да разреши свалянето на файлове, разменяни посредством директните известия сред потребителите на платформата и дори изтриването на всички файлове на сървъра. Администриращият infosec.exchange бързо поправил грешката, само че Алевски разкрил същия проблем и на други инстанции на Mastodon.
Друг експерт по осведомителна сигурност разкрил предходната седмица, че някой събира персонални данни от Mastodon. Анураг Сен се натъкнал на база данни с над 150 000 консуматори, която включвала псевдоними, имена, с които се били записали потребителите, брой на сметките, които следва и които го следват. За благополучие пароли нямало. Но имало имейл адреси, което може да спомогне за реализирането на фишинг офанзиви.
Източник: kaldata.com
КОМЕНТАРИ