Gli hacker Hanno attaccato i social network federati come Mastodon per effettuare continui attacchi di spam organizzati su Discord ed effettuati utilizzando le loro applicazioni. Ma Discord deve ancora rimuovere i server federati da cui sono stati facilitati gli attacchi, e i leader della comunità Mastodon non sono stati in grado di contattare nessuno dell’azienda.
"Gli attacchi sono stati coordinati tramite Discord e il software è stato distribuito attraverso di loro", ha affermato Emelia Smith, un'ingegnere del software che lavora regolarmente su questioni di fiducia e sicurezza presso fediverse, una rete di piattaforme social decentralizzate costruite sul protocollo ActivityPub. . "Hanno usato bot che si integravano direttamente con Discord, quindi un utente non aveva nemmeno bisogno di configurare alcun server o qualcosa del genere, perché poteva semplicemente eseguire questo bot direttamente da Discord per eseguire l'attacco."
Smith ha tentato di contattare Discord attraverso i canali ufficiali il 17 febbraio, ma ha ricevuto solo risposte dal modulo. Ha commentato che mentre Discord dispone di meccanismi per segnalare singoli utenti o messaggi, manca un modo chiaro per riferire su interi server.
"Abbiamo visto che questo è costato a Mastodon, Misskey e ad altri amministratori di server centinaia o migliaia di dollari in costi infrastrutturali e negazione del servizio generale", ha scritto Smith a Discord Trust & Safety in un'e-mail. "L'unico collegamento comune sembra essere questo server."
In una dichiarazione, un portavoce di Discord ha affermato: "I Termini di servizio di Discord proibiscono specificamente l'abuso della piattaforma, che si riferisce ad attività che interrompono o alterano l'esperienza degli utenti Discord, incluso lo spamming o l'invio di messaggi." o massicce interazioni non richieste. Sebbene Discord affermi di monitorare la situazione, il server responsabile degli attacchi spam rimane attivo e online.
Eugen Rochko, fondatore e amministratore delegato di Mastodon trasmesso in una pubblicazione che questi attacchi sono più difficili da moderare rispetto ai precedenti, perché prendono deliberatamente di mira server più piccoli, che spesso dispongono di meno strumenti di moderazione. Alcuni di questi server offrono una registrazione aperta, consentendoti di avviare rapidamente nuovi account e pubblicare spam. E come sottolinea Smith, questi massicci attacchi di spam possono aumentare i costi dei server, lasciando agli amministratori fatture inaspettate.
De acuerdo al i rapporti da Mastodon, questo attacco completamente automatizzato è stato causato da a conflitto tra adolescenti su due diversi server Discord giapponesi.
"È questo tipo di comportamento sociale strano, in cui questi ragazzi si comportano essenzialmente come i bulli del cortile della scuola", ha detto Smith. Secondo lui hanno compiuto l'attacco semplicemente per dimostrare che possono farlo, e non perché nutrano ostilità nei confronti di questi social network.
"Hanno capacità tecnologiche che sono molto al di sopra delle loro capacità emotive o psicologiche", ha detto.
Kevin Beaumont, un esperto di sicurezza informatica, ha pubblicato su Mastodon che questo incidente ricorda un attacco simile, anche se molto più grande, del 2016, in cui tre studenti universitari hanno creato una botnet per fare soldi con Minecraft. Ma quello che hanno costruito è stato così potente che è stato in grado di abbattere ampie fasce di Internet, inclusi siti come Reddit e Spotify.
“Dovevo fare un programma radiofonico su NPR (National Public Radio) su questo e il conduttore continuava a chiedermi se fosse Putin, e io ho detto, no, sono adolescenti. Adolescenti avanzati persistenti”, ha pubblicato Beaumont.
Essendo un social network decentralizzato, il team di Mastodon non può intervenire in questioni di moderazione su server di cui non è proprietario, il che rappresenta una vulnerabilità per fediverso. Sui server gestiti e moderati attivamente, Mastodon offre strumenti per impedire la registrazione automatica dell'account, come CAPTCHA.
Sebbene il modello open source senza scopo di lucro di Mastodon offra agli utenti una maggiore proprietà sulle loro esperienze sui social media, limita anche la capacità dell'azienda di assumere più sviluppatori. La maggior parte del social network è gestito da volontari, come la stessa Smith.
“Stimerei che l’intero fediverso sia sviluppato da, forse, nella migliore delle ipotesi, 100 ingegneri”, ha detto. “Tutti loro sottopagati o non pagati, che cercano di creare software supportando al tempo stesso una base di utenti attivi mensili compresa tra 1,1 milioni e 7,4 milioni”.
