hackers Eles atacaram redes sociais federadas como Mastodon para realizar ataques contínuos de spam que foram organizados no Discord e realizados através de seus aplicativos. Mas o Discord ainda não removeu os servidores federados dos quais os ataques foram facilitados, e os líderes da comunidade Mastodon não conseguiram entrar em contato com ninguém da empresa.
“Os ataques foram coordenados através do Discord e o software foi distribuído através deles”, disse Emelia Smith, engenheira de software que trabalha regularmente em questões de confiança e segurança na fediverse, uma rede de plataformas sociais descentralizadas construída no protocolo ActivityPub. “Eles usaram bots que se integravam diretamente ao Discord, então o usuário nem precisava configurar nenhum servidor ou algo parecido, pois ele poderia simplesmente executar esse bot diretamente do Discord para realizar o ataque.”
Smith tentou entrar em contato com o Discord por meio dos canais oficiais em 17 de fevereiro, mas só recebeu respostas no formulário. Ele comentou que, embora o Discord tenha mecanismos para relatar usuários ou mensagens individuais, falta uma maneira clara de relatar servidores inteiros.
“Vimos isso custar a Mastodon, Misskey e outros administradores de servidores centenas ou milhares de dólares em custos de infraestrutura e negação geral de serviço”, escreveu Smith ao Discord Trust & Safety por e-mail. "O único link comum parece ser este servidor."
Em um comunicado, um porta-voz do Discord disse: “Os Termos de Serviço do Discord proíbem especificamente o abuso da plataforma, que se refere a atividades que perturbam ou alteram a experiência dos usuários do Discord, incluindo spam ou envio de mensagens.” ou interações massivas não solicitadas. Embora o Discord diga que está monitorando a situação, o servidor responsável pelos ataques de spam permanece ativo e online.
Eugen Rochko, fundador e CEO da Mastodon transmitido em publicação que estes ataques são mais difíceis de moderar do que os anteriores, porque visam deliberadamente servidores mais pequenos, que muitas vezes têm menos ferramentas de moderação. Alguns desses servidores oferecem registro aberto, permitindo que você crie novas contas rapidamente e poste spam. E, como aponta Smith, esses ataques massivos de spam podem aumentar os custos do servidor, deixando os administradores com contas inesperadas.
De acordo com os relatórios do Mastodon, este ataque totalmente automatizado foi causado por um conflito entre adolescentes em dois servidores japoneses diferentes do Discord.
“É esse tipo de comportamento social estranho, onde essas crianças agem essencialmente como valentões de escola”, disse Smith. Ele acredita que realizaram o ataque simplesmente para mostrar que podem, e não porque tenham má vontade em relação a essas redes sociais.
“Eles têm capacidades tecnológicas que estão muito acima das suas capacidades emocionais ou psicológicas”, disse ele.
Kevin Beaumont, especialista em segurança cibernética, postou no Mastodon que esse incidente lembra um ataque semelhante, embora muito maior, de 2016, no qual três estudantes universitários criaram uma botnet para ganhar dinheiro com o Minecraft. Mas o que eles construíram foi tão poderoso que foi capaz de derrubar grandes áreas da Internet, incluindo sites como Reddit e Spotify.
“Tive que fazer um programa de rádio na NPR (National Public Radio) sobre isso e o apresentador ficava me perguntando se era Putin, e eu disse, não, eles são adolescentes. Adolescentes avançados persistentes”, publicado Beaumont.
Por ser uma rede social descentralizada, a equipe Mastodon não pode intervir em questões de moderação em servidores que não são de sua propriedade, o que é uma vulnerabilidade para o fediverso. Em servidores mantidos e moderados ativamente, o Mastodon oferece ferramentas para impedir o registro automatizado de contas, como CAPTCHA.
Embora o modelo de código aberto e sem fins lucrativos da Mastodon dê aos usuários mais propriedade sobre suas experiências de mídia social, ele também limita a capacidade da empresa de contratar mais desenvolvedores. A maior parte da rede social é administrada por voluntários, como a própria Smith.
“Eu estimaria que todo o fediverso seja desenvolvido por, talvez, na melhor das hipóteses, 100 engenheiros”, disse ele. “Todos eles mal pagos ou não, que estão tentando criar software e ao mesmo tempo apoiar a base mensal de usuários ativos na faixa de 1,1 milhão a 7,4 milhões.”
