Ein Spam-Angriff, der die X-Rivalen Mastodon, Misskey und andere Apps traf, zeigt, wie das dezentrale soziale Web, auch bekannt als fediverse, ist anfällig für Missbrauch. In den letzten Tagen haben Angreifer kleinere Mastodon-Server ins Visier genommen und offene Protokolle ausgenutzt, um die Erstellung von Spam-Konten zu automatisieren. Eugen Rochko, Gründer und CEO von Mastodon bestätigte den Angriff in einer Veröffentlichung Am Wochenende fügte er hinzu, dass Mastodon-Serveradministratoren die Registrierung in den Genehmigungsmodus versetzen und Anbieter zum Löschen von E-Mails blockieren sollten, um das Problem zu bekämpfen.
Obwohl dies nicht der erste Spam-Angriff ist, der Fediverso trifft, stellt Rochko fest, dass dies nur größeren Servern gefällt Mastodon.sozial war bereits zuvor angegriffen worden. Da dieser Server von Mastodons eigenem Team betrieben wird, konnten sie diese Angriffe selbst abwehren. Was dieses Mal anders ist, ist, dass Spammer kleinere und sogar verlassene Server ins Visier genommen haben, die eine offene Registrierung ermöglichten, was es Kriminellen ermöglichte, schnell Konten zu erstellen und Spam zu generieren.
Dieser spezielle Angriff lief vollständig automatisiert ab, als die Angreifer entdeckten, dass sie Spam-Skripte erstellen konnten durch einen Streit verursacht zwischen zwei Seiten auf Discord, bei dem eine Seite laut Berichten von Mastodon versuchte, den Discord-Server der anderen Seite zu sperren (weitere Details). hier). Viele der anderen Ziele von Spammern Sie waren nicht nur Mastodon, sie zielten auch darauf Misskey, eine dezentrale Open-Source-Blogging-Plattform, die das ActivityPub-Protokoll verwendet, wie Mastodon, Pixelfed, PeerTube und andere, sodass ihre Benutzer mit denen auf anderen föderierten sozialen Plattformen interagieren können. Wie die Ursprünge von Spam Scheint ein japanisches Forum zu sein Viele der Ziele befanden sich auch in Japan.
Der Spam-Angriff hat eine der Schwachstellen deutlich gemacht, die sich aus der Struktur des Fediverso ergeben. Mastodon ist eine Open-Source-Software, die jeder auf seinem eigenen Server installieren kann und im Wesentlichen eine eigene Instanz oder einen eigenen Knoten erstellt, der sich mit anderen föderierten Social-Media-Servern verbindet, die auf dem ActivityPub-Protokoll basieren.
Da es sich bei den kleineren Servern von Mastodon oft um Hobbyprojekte handelt, die von Enthusiasten betrieben werden, waren sie anfällig für diese Art von Angriffen. Wenn Serveradministratoren ihren Servern nicht täglich Aufmerksamkeit schenken und offene Protokolle anbieten, sind sie wahrscheinlich Opfer von Spam.
Oder als Serveradministrator, @Chris@mastodon.cosmicnation.co kommentierte: „Einige Administratoren wurden daran erinnert, dass sie eine Instanz hatten. Und wir haben auch erfahren, dass es VIELE verlassene Instanzen gibt, bei denen die Tür für eine Registrierung ohne Genehmigung offen steht.“
In den letzten Tagen, Server Serveradministratoren sie arbeiteten zusammen für Listen erstellen Anzahl verlassener Instanzen als andere Administratoren, die als Grundlage für eine Sperrliste dienen könnten, um ihre eigenen Benutzer vor Spam-Angriffen zu schützen. Viele Server wurden einfach heruntergefahren, weil ihre Administratoren entschieden hatten, dass es einfacher wäre, den Angriff abzuwarten oder Mastodon ganz aufzugeben.
Die beliebte Drittanbieter-App Mastodon Ivory von Tapbots, hat ein Notfall-Update veröffentlicht das einen benutzerdefinierten Filter namens „Potenzieller Spam“ in der Registerkarte „Filter“ enthielt, der es Benutzern ermöglichte, Spam-Erwähnungen zu unterdrücken. Betroffene Benutzer könnten diesen Filter aktivieren, um die meisten Spam-Mails zu erkennen, könnten Spam-Push-Benachrichtigungen jedoch nicht stoppen, so das Unternehmen.
Der Angriff scheint nachzulassen. Technologe und Forscher Tim Chambers (@tchambers@indieweb.social) stellte fest, dass er zum Beispiel weniger als 40 Spam-Konten auf dem von ihm verwalteten Server sperren musste. Mastodon argumentiert, dass Mastodon auf aktiven Servern mit einem reaktiven Moderationsteam über mehrere Tools verfügt, um die automatische Kontoregistrierung zu verhindern, darunter den Genehmigungsmodus, CAPTCHA und verschiedene Blockierungstools, sodass der Angreifer sehr schnell behandelt werden konnte. Er stellte außerdem fest, dass der Spam-Angriff zurückging, da die beiden Hackergruppen offenbar Frieden geschlossen hatten.
Während einige die Erfahrung als positiv für die betrachteten sozialen Netzwerken und der sozialen Vielfalt im Allgemeinen, da es eine Schwäche offenbarte, die nun diskutiert und behoben werden konnte, andere waren über die Erfahrung und Rochkos mangelnde Reaktion in den ersten Stunden des Angriffs verärgert.
„Das ruiniert meine Erfahrung mit Mastodon. Es bringt mich dazu, aufzuhören und aufzugeben“, schrieb ein Mastodon-Serveradministrator.sam@urbanistas.social. „Und Eugens anhaltendes Schweigen zu diesem Thema hilft nicht“, sagten sie.
Renaud Chaput, CTO von Mastodon, sagte, der Angriff werde das Unternehmen dazu drängen, seine Software zu verbessern.
„Derzeit gibt es keine guten integrierten Tools, um mit solchen Situationen umzugehen, da es sich um ein komplexes Thema handelt: Verbundnetzwerke sind nicht einfach! – aber wir haben viele Ideen, wie wir unsere Kampffunktionen verbessern können contra Spam und Missbrauch“, sagte er. „Wir werden in den nächsten Monaten daran arbeiten. Wir arbeiten ständig an der Verbesserung der Software (die neueste Version bietet optionale Captcha-Unterstützung). Eine weitere Maßnahme, die wir heute ergriffen haben, besteht darin, die Konfiguration neuer Instanzen so zu ändern, dass sie nicht standardmäßig geöffnet sind. Außerdem haben wir ein Banner hinzugefügt, um Administratoren daran zu erinnern, dass vollständig geöffnete Instanzen aktiv moderiert werden müssen. Daher sollte dies eine sorgfältige Entscheidung eines Teils der Instanzen sein Administrator. “, fügte Chaput hinzu.
Seit der Einführung von Instagram Threads, einem weiteren Twitter/X-Konkurrenten, der ebenfalls einen Zusammenschluss über ActivityPub plant, ist die Mastodon-Nutzung rückläufig.
Bis Oktober letzten Jahres war Mastodon auf rund 1,8 Millionen monatlich aktive Nutzer angewachsen. Als Threads öffentlich gestartet wurde, waren es nur noch 1,5 Millionen. Seit dem öffentlichen Start von Bluesky in diesem Monat, einem weiteren dezentralen sozialen Netzwerk, das auf einem anderen Protokoll basiert (was bedeutet, dass es nicht Teil desselben Fediversums ist, zumindest bis eine Brücke gebaut ist), wurde Mastodon verwendet abgesenkt 1 Million monatlich aktive Benutzer.
Die Verwendung von Mastodon bleibt bestehen, heißt es auf der Homepage des Unternehmens. Das breitere Fediversum, zu dem Mastodon und andere Apps gehören, hat rund 2,9 Millionen monatlich aktive Benutzer. Der Einstieg von Threads in diesen Bereich wird andere Mastodon-Server in den Schatten stellen und könnte Metas technisches Fachwissen in Bereichen wie der Spam-Prävention einbringen, aber viele befürchten, dass Metas ultimatives Ziel darin besteht, im Wesentlichen das Fediverse zu übernehmen, indem es zum Client wird. Standard, den Benutzer auswählen und verwenden erhebliche Ressourcen zur Skalierung der Einführung der Meta-App.
