Um ataque de spam que atingiu o rival X Mastodon, Misskey e outros aplicativos destaca como a web social descentralizada, também conhecida como fediverse, está aberto a abusos. Nos últimos dias, os invasores têm como alvo servidores Mastodon menores, aproveitando os logs abertos para automatizar a criação de contas de spam. Eugen Rochko, fundador e CEO da Mastodon confirmou o ataque em uma publicação no fim de semana, acrescentando que os administradores do servidor Mastodon devem mudar o registro para o modo de aprovação e bloquear provedores de exclusão de e-mail para ajudar a combater o problema.
Embora este não seja o primeiro ataque de spam a atingir o fediverso, Rochko observa que apenas servidores maiores como Mastodonte.social já havia sido atacado anteriormente. Como esse servidor é administrado pela própria equipe do Mastodon, eles próprios conseguiram mitigar esses ataques. A diferença desta vez é que os spammers visaram servidores menores e até abandonados que ofereciam registro aberto, permitindo que malfeitores criassem contas rapidamente e gerassem spam.
Este ataque específico, que foi completamente automatizado quando os atacantes descobriram que podiam criar scripts de spam, foi causado por uma disputa entre dois lados no Discord, onde um lado estava tentando banir o servidor Discord do outro lado, de acordo com relatórios do Mastodon (mais detalhes clique aqui). Muitos dos outros alvos dos spammers Eles não eram apenas Mastodontes: eles também visavam Chave senhorita, uma plataforma de blog descentralizada de código aberto que utiliza o protocolo ActivityPub, como Mastodon, Pixelfed, PeerTube e outros, permitindo que seus usuários interajam com usuários de outras plataformas sociais federadas). Como as origens do spam parece ser um fórum japonês muitos dos alvos também estavam no Japão.
O ataque de spam destacou uma das fragilidades decorrentes da forma como o fediverso está estruturado. Mastodon é um software de código aberto que qualquer pessoa pode instalar em seu próprio servidor, essencialmente estabelecendo sua própria instância ou nó, que se conecta a outros servidores federados de mídia social, alimentados pelo protocolo ActivityPub.
Como os servidores menores do Mastodon costumam ser projetos de hobby executados por entusiastas, eles eram vulneráveis a esse tipo de ataque. Se os administradores de servidores não prestassem atenção aos seus servidores diariamente e não oferecessem logs abertos, provavelmente seriam vítimas de spam.
Ou como administrador de servidor, @Chris@mastodon.cosmicnation.co comentou: “Alguns administradores foram lembrados de que tinham uma instância. E também aprendemos que existem MUITOS casos abandonados com a porta aberta para registro sem aprovação.”
Durante os últimos dias, o servidor administradores de servidor eles trabalharam juntos para criar listas de instâncias abandonadas do que outros administradores que poderiam ser usadas como base para uma lista de bloqueios para proteger seus próprios usuários contra ataques de spam. Muitos servidores foram simplesmente desligados porque seus administradores decidiram que seria mais fácil esperar o ataque ou abandonar totalmente o Mastodon.
O popular aplicativo de terceiros Mastodon Ivory, da Tapbots, lançou uma atualização de emergência que incluía um filtro personalizado chamado “Spam potencial” na guia Filtro que permitiria aos usuários silenciar menções de spam. Os usuários afetados poderiam ativar esse filtro para detectar a maior parte do spam, mas não poderiam impedir as notificações push de spam, disse a empresa.
O ataque parece estar diminuindo. O tecnólogo e pesquisador Tim Chambers (@tchambers@indieweb.social) observou que passou a ter menos de 40 contas de spam para suspender no servidor que gerencia, por exemplo. Mastodon argumenta que em servidores ativos com uma equipe de moderação reativa, o Mastodon possui várias ferramentas para impedir o registro automatizado de contas, incluindo modo de aprovação, CAPTCHA e várias ferramentas de bloqueio, de modo que o invasor foi tratado muito rapidamente. Ele também observou que o ataque de spam estava diminuindo à medida que os dois grupos de hackers aparentemente haviam feito as pazes.
Embora alguns considerem a experiência positiva para o social vermelho e a diversidade social em geral, pois revelava uma fraqueza que agora poderia ser discutida e abordada, outros ficaram chateados com a experiência e com a falta de resposta de Rochko nas primeiras horas do ataque.
“Isso está arruinando minha experiência com o Mastodon. Isso me dá vontade de desistir”, escreveu um administrador do servidor Mastodon.sam@urbanistas.social. “E o silêncio contínuo de Eugen sobre o assunto não ajuda”, disseram.
O CTO da Mastodon, Renaud Chaput, disse que o ataque levará a empresa a melhorar seu software.
“Neste momento não existem boas ferramentas integradas para lidar com este tipo de situação, pois é uma questão complexa: redes federadas não são fáceis! – mas temos muitas ideias sobre como melhorar nossas funções de combate contra spam e abuso”, disse ele. “Vamos trabalhar nisso nos próximos meses. Estamos sempre trabalhando para melhorar o software (a versão mais recente introduziu suporte opcional a captcha). Outra ação que tomamos hoje é alterar a configuração de novas instâncias para que não sejam abertas por padrão, e adicionamos um banner para lembrar aos administradores que instâncias totalmente abertas devem ser moderadas ativamente, portanto esta deve ser uma decisão cuidadosa por parte do administrador. ”Chaput acrescentou.
Desde a chegada do Instagram Threads, outro concorrente do Twitter/X que também planeja federar através do ActivityPub, o uso do Mastodon tem apresentado tendência de queda.
Em outubro do ano passado, o Mastodon cresceu para incluir cerca de 1,8 milhão de usuários ativos mensais. Quando Threads foi lançado publicamente, caiu para 1,5 milhão. A partir do lançamento público deste mês do Bluesky, outra rede social descentralizada baseada em um protocolo diferente (o que significa que não faz parte do mesmo fediverse, pelo menos até que uma ponte seja construída), o uso do Mastodon teve rebaixado 1 milhão de usuários ativos mensais.
O uso do Mastodon continua lá, de acordo com a página inicial da empresa. O fediverse mais amplo, que inclui o Mastodon e outros aplicativos, tem cerca de 2,9 milhões de usuários ativos mensais. A entrada de Threads neste espaço eclipsará outros servidores Mastodon e poderá trazer o conhecimento técnico do Meta em áreas como prevenção de spam, mas muitos estão preocupados que o objetivo final do Meta seja essencialmente assumir o controle do fediverse, tornando-se o cliente padrão que os usuários escolhem e usando seus recursos significativos para dimensionar a adoção do aplicativo Meta.
