Un attacco di spam che ha colpito le rivali X Mastodon, Misskey e altre app evidenzia come il social web decentralizzato, noto anche come fediverso, è suscettibile di abusi. Negli ultimi giorni, gli aggressori hanno preso di mira i server Mastodon più piccoli, sfruttando i log aperti per automatizzare la creazione di account spam. Eugen Rochko, fondatore e amministratore delegato di Mastodon ha confermato l'attacco in una pubblicazione durante il fine settimana, aggiungendo che gli amministratori dei server Mastodon dovrebbero passare alla modalità di approvazione e bloccare i provider di posta elettronica per aiutare a combattere il problema.
Anche se questo non è il primo attacco spam a colpire fediverso, Rochko sottolinea che piace solo ai server più grandi Mastodonte.social era stato attaccato in precedenza. Poiché quel server è gestito dal team di Mastodon, sono stati in grado di mitigare questi attacchi da soli. La differenza questa volta è che gli spammer hanno preso di mira server più piccoli e persino abbandonati che offrivano una registrazione aperta, consentendo ai malintenzionati di creare rapidamente account e generare spam.
Questo particolare attacco, che è stato completamente automatizzato quando gli aggressori hanno scoperto di poter creare script di spam, lo è stato causato da una disputa tra due parti su Discord, dove una parte stava cercando di bannare il server Discord dell'altra parte, secondo quanto riferito da Mastodon (maggiori dettagli qui). Molti degli altri obiettivi degli spammer Non erano solo Mastodonti: miravano anche a misskey, una piattaforma di blogging decentralizzata open source che utilizza il protocollo ActivityPub, come Mastodon, Pixelfed, PeerTube e altri, consentendo ai suoi utenti di interagire con quelli di altre piattaforme social federate). Come le origini dello spam sembra essere un forum giapponese molti degli obiettivi erano anche in Giappone.
L'attacco spam ha evidenziato uno dei punti deboli derivanti dal modo in cui è strutturato il fediverso. Mastodon è un software open source che chiunque può installare sul proprio server, stabilendo essenzialmente la propria istanza o nodo, che si connette ad altri server di social media federati, alimentati dal protocollo ActivityPub.
Poiché i server più piccoli di Mastodon sono spesso progetti hobby gestiti da appassionati, erano vulnerabili a questo tipo di attacco. Se gli amministratori dei server non prestavano attenzione quotidianamente ai propri server e non offrivano log aperti, probabilmente erano vittime di spam.
O come amministratore del server, @Chris@mastodon.cosmicnation.co ha commentato: “Ad alcuni amministratori è stato ricordato che avevano un’istanza. E abbiamo anche appreso che ci sono MOLTI casi abbandonati con la porta aperta alla registrazione senza approvazione”.
Negli ultimi giorni, server amministratori del server hanno lavorato insieme per creare liste di istanze abbandonate rispetto ad altri amministratori che potrebbero essere utilizzate come base per un elenco di blocchi per proteggere i propri utenti dagli attacchi di spam. Molti server furono semplicemente chiusi perché i loro amministratori decisero che sarebbe stato più semplice aspettare la fine dell'attacco o abbandonare del tutto Mastodon.
La popolare app di terze parti Mastodon Ivory, di Tapbots, ha rilasciato un aggiornamento di emergenza che includeva un filtro personalizzato chiamato "Potenziale spam" nella scheda Filtro che consentiva agli utenti di silenziare le menzioni di spam. Gli utenti interessati potrebbero attivare questo filtro per rilevare la maggior parte dello spam, ma non potrebbero bloccare le notifiche push di spam, ha affermato la società.
L'attacco sembra in fase di attenuazione. Tecnologo e ricercatore Tim Chambers (@tchambers@indieweb.social) ha notato, ad esempio, che ha cominciato ad avere meno di 40 account spam da sospendere sul server che gestisce. Mastodon sostiene che sui server attivi con un team di moderazione reattivo, Mastodon dispone di diversi strumenti per impedire la registrazione automatica dell'account, inclusa la modalità di approvazione, CAPTCHA e vari strumenti di blocco, quindi l'aggressore è stato gestito molto rapidamente. Ha inoltre osservato che gli attacchi di spam stanno diminuendo poiché i due gruppi di hacker hanno apparentemente fatto pace.
Mentre alcuni hanno visto l'esperienza come positiva per il sociale rosso e la diversità sociale in generale, poiché ha rivelato una debolezza che ora potrebbe essere discussa e affrontata, altri sono rimasti sconvolti dall'esperienza e dalla mancanza di risposta di Rochko nelle prime ore dell'attacco.
“Questo sta rovinando la mia esperienza con Mastodon. Mi fa venir voglia di smettere e di arrendermi", ha scritto un amministratore del server Mastodon.sam@urbanistas.social. "E il continuo silenzio di Eugen sulla questione non aiuta", hanno detto.
Il CTO di Mastodon Renaud Chaput ha affermato che l'attacco spingerà l'azienda a migliorare il proprio software.
“Al momento non esistono strumenti integrati validi per gestire questo tipo di situazioni, poiché si tratta di una questione complessa: le reti federate non sono facili! – ma abbiamo molte idee su come migliorare le nostre funzioni di combattimento contra spam e abusi", ha affermato. “Ci lavoreremo nei prossimi mesi. Lavoriamo costantemente per migliorare il software (l'ultima versione ha introdotto il supporto captcha opzionale). Un'altra azione che abbiamo intrapreso oggi è stata quella di modificare la configurazione delle nuove istanze in modo che non siano aperte per impostazione predefinita e abbiamo aggiunto un banner per ricordare agli amministratori che le istanze completamente aperte devono essere moderate attivamente, quindi questa dovrebbe essere una decisione attenta da parte del comitato amministratore. ", ha aggiunto Chaput.
Dall'arrivo di Instagram Threads, un altro concorrente di Twitter/X che prevede di federarsi tramite ActivityPub, l'utilizzo di Mastodon ha registrato una tendenza al ribasso.
Nell'ottobre dello scorso anno, Mastodon era cresciuto fino a includere circa 1,8 milioni di utenti attivi mensili. Quando Threads è stato lanciato pubblicamente, era sceso a 1,5 milioni. A partire dal lancio pubblico questo mese di Bluesky, un altro social network decentralizzato basato su un protocollo diverso (ovvero che non fa parte dello stesso fediverso, almeno fino a quando non verrà costruito un ponte), l'utilizzo di Mastodon ha avuto andato giù 1 milione di utenti attivi mensili.
L'utilizzo di Mastodon rimane lì, secondo la home page dell'azienda. Il fediverso più ampio, che include Mastodon e altre app, ha circa 2,9 milioni di utenti attivi mensilmente. L'ingresso di Threads in questo spazio eclisserà gli altri server Mastodon e potrebbe portare la competenza tecnica di Meta in aree come la prevenzione dello spam, ma molti temono che l'obiettivo finale di Meta sia essenzialmente quello di conquistare il fediverso diventando il client predefinito che gli utenti scelgono e utilizzando il proprio risorse significative per ampliare l’adozione dell’app Meta.
