Am Wochenende griffen Hacker föderierte soziale Netzwerke wie Mastodon an, um fortlaufende Spam-Angriffe durchzuführen, die auf Discord organisiert und mithilfe von Discord-Anwendungen durchgeführt wurden. Aber Discord hat den Server, auf dem die Angriffe stattfinden, noch nicht entfernt, und die Mastodon-Community-Leiter konnten niemanden im Unternehmen erreichen.
„Die Angriffe wurden über Discord koordiniert und die Software über Discord verbreitet“, sagte Emelia Smith, eine Softwareentwicklerin, die regelmäßig an Vertrauens- und Sicherheitsfragen im Fediverse arbeitet, einem Netzwerk dezentraler sozialer Plattformen, die auf dem ActivityPub-Protokoll basieren. „Sie verwendeten Bots, die direkt in Discord integriert waren, sodass ein Benutzer nicht einmal Server oder ähnliches einrichten musste, weil er diesen Bot einfach direkt von Discord aus ausführen konnte, um den Angriff auszuführen.“
Smith versuchte am 17. Februar, Discord über offizielle Kanäle zu kontaktieren, erhielt jedoch immer noch nur formelle Antworten. Sie sagte gegenüber Tech, dass Discord zwar über Mechanismen zur Meldung einzelner Benutzer oder Nachrichten verfügt, es jedoch an einer klaren Möglichkeit mangelt, ganze Server zu melden.
„Wir haben gesehen, dass dies den Serveradministratoren von Mastodon, Misskey und anderen Hunderte oder Tausende von Dollar an Infrastrukturkosten und insgesamt Denial-of-Service gekostet hat“, schrieb Smith in einer von Tech eingesehenen E-Mail an Discord Trust & Safety. „Der einzige gemeinsame Link scheint dieser Discord-Server zu sein.“
In einer Erklärung gegenüber Tech sagte ein Discord-Sprecher: „Die Nutzungsbedingungen von Discord verbieten ausdrücklich Plattformmissbrauch, der sich auf Aktivitäten bezieht, die das Erlebnis von Discord-Benutzern stören oder verändern, einschließlich Spam oder das Versenden unerwünschter Massennachrichten oder Interaktionen.“ Obwohl Discord angibt, die Situation zu beobachten, bleibt der für die Spam-Angriffe verantwortliche Server online.
Mastodon-Gründer und CEO Eugen Rochko sagte in einem Beitrag dass diese Angriffe schwieriger zu moderieren sind als frühere, da sie bewusst auf kleinere Server abzielen, die oft über weniger Moderationstools verfügen. Einige dieser Server bieten eine offene Registrierung an, sodass Sie schnell neue Konten eröffnen und Spam versenden können. Und wie Smith anmerkt, können diese Massen-Spam-Angriffe die Serverkosten in die Höhe treiben und Administratoren mit unerwarteten Rechnungen belasten.
Entsprechend Berichte Auf Mastodon wurde dieser vollautomatische Angriff durch a ausgelöst Konflikt zwischen Teenagern auf zwei verschiedenen Discord-Servern in japanischer Sprache.
„Es ist diese Art von seltsamem Sozialverhalten, bei dem sich diese Kinder im Wesentlichen wie Schulhoftyrann verhalten“, sagte Smith gegenüber Tech. Sie glaubt, dass sie den Angriff nur durchgeführt haben, um zu zeigen, dass sie es können, und nicht, weil sie diesen sozialen Netzwerken gegenüber eine Abneigung hegen.
„Sie verfügen über technologische Fähigkeiten, die weit über dem liegen, wo sie emotional oder psychologisch sind“, sagte sie.
Kevin Beaumont, ein Cybersicherheitsexperte, postete auf Mastodon, dass dieser Vorfall an einen ähnlichen, aber viel größeren Angriff aus dem Jahr 2016 erinnert, bei dem drei Studenten ein Botnetz erstellten, um mit Minecraft Geld zu verdienen. Aber was sie bauten, war so mächtig dass es in der Lage war, große Teile des Internets lahmzulegen, darunter Websites wie Reddit und Spotify.
„Ich musste darüber eine Radiosendung auf NPR machen und der Moderator fragte mich immer wieder, ob das Putin sei – und ich meinte: Nein, das sind Teenager. Fortgeschrittene hartnäckige Teenager“, Beaumont Gesendet.
Als dezentrales Social-Media-Netzwerk ist das Team von Mastodon nicht in der Lage, in Moderationsprobleme auf Servern einzugreifen, die ihnen nicht gehören, was eine Schwachstelle für das Fediversum darstellt. Auf Servern, die aktiv gewartet und moderiert werden, bietet Mastodon Tools zur Verhinderung einer automatisierten Kontoregistrierung, wie etwa CAPTCHAs.
Während das gemeinnützige Open-Source-Modell von Mastodon den Benutzern mehr Eigenverantwortung für ihre Social-Media-Erlebnisse gibt, schränkt es auch die Fähigkeit des Unternehmens ein, mehr Entwickler einzustellen. Der größte Teil des sozialen Netzwerks wird von Freiwilligen betrieben, wie Smith selbst.
„Ich würde schätzen, dass das gesamte Fediversum auf dem Rücken von vielleicht bestenfalls 100 Ingenieuren entwickelt wird“, sagte sie. „Alle sind entweder schlecht bezahlt, unterbezahlt oder unbezahlt, versuchen Software zu entwickeln und unterstützen gleichzeitig die Nutzerbasis der monatlich aktiven Nutzer im Bereich von 1,1 Millionen bis 7,4 Millionen.“