Dezentrale soziale Netzwerke sind nicht immun gegen Botnet-Spam, wie ein kürzlich erfolgter Spam-Angriff auf Bluesky zeigt. Anfang dieses Monats tauchte im Netzwerk von Bluesky eine Flut von Beiträgen mit der Aufschrift „Denken Sie daran, immer für Trump zu stimmen“ auf, die von Konten mit zufälligen Namen und Standard-Avataren gepostet wurden.
Der Spam stammte jedoch nicht von Bluesky. Stattdessen erreichte es Bluesky, indem es zunächst zwei andere dezentrale Netzwerke überquerte: Mastodon und Nostr. Zu diesem Zweck nutzte das Botnetz „Brücken“ oder Verbindungswege zwischen den Netzwerken, die sie interoperabel machen.
Obwohl der Spam-Angriff am 11. Mai stattfand, wurde erst vor wenigen Tagen ein Postmortem eines Datenwissenschaftlers veröffentlicht, was dem Ereignis erhöhte Aufmerksamkeit verschaffte. Wie der Blog Conspirador Norteño erklärt, wurden die Konten, die Bluesky spammten, über das Social-Networking-Protokoll Nostr erstellt.
Das Protokoll von Nostr unterstützt Apps wie Damus, Nostur, Nos und andere. Aufgrund seiner Beliebtheit bei Bitcoin-Nutzern ist es derzeit auch das Netzwerk der Wahl für Twitter-Mitbegründer und ehemaligen CEO Jack Dorsey. Bei Twitter hatte Dorsey jedoch das Projekt unterstützt, aus dem sich später das dezentrale Social-Networking-Startup Bluesky entwickelte. Aber er hat seinen Vorstand inzwischen verlassen und gesagt er denkt Das Bluesky-Team wiederholt nun die gleichen Fehler, die er und andere bei Twitter gemacht haben. Dorsey beschäftigt sich heute regelmäßig mit Nostr, das seiner Meinung nach ein offeneres Protokoll ist.
Es mag seltsam erscheinen, aber obwohl Nostr und Plattformen wie Mastodon und Bluesky allesamt dezentrale Netzwerke sind, kommunizieren sie nicht wirklich miteinander. Mastodon verwendet das ActivityPub-Protokoll, das mittlerweile auch von Meta in Instagram Threads übernommen wird, sowie andere Apps und Dienste, darunter Flipboard und der Open-Source-Substack-Rivale Ghost.
Um die Weiterleitung von Beiträgen von einem Netzwerk zu einem anderen zu ermöglichen, werden Brücken gebaut. Dies war bereits ein Streitpunkt zwischen einigen Nutzern dezentralisierter sozialer Netzwerke, da verschiedene Gruppen darüber gestritten haben, wie die Brücken gebaut werden sollten, während andere sich fragen, ob Brücken überhaupt existieren sollten.
Die letztere Gruppe könnte dieses jüngste Ereignis nun als Beispiel für die Nachteile von Bridges anführen, da das Botnetz Bridges geschickt nutzte, um Spam auf ein anderes Netzwerk zu senden.
Der Analyse des Angriffs zufolge wurde der Nostr-Spam zunächst über die Brücke Momostr.pink an Mastodon gesendet. Dann schickte eine andere Brücke namens Bridgy Fed den Inhalt von Mastodon an Bluesky.
„Fingerabdrücke dieses Prozesses erscheinen in den Bluesky-Versionen der Posts, wo die Kontonamen das Format npub.momostr.pink.ap.brid.gy haben“, schrieb [email protected] An Unterstapel. „Der erste Teil davon (von npub bis zum ersten Punkt) ist der öffentliche Schlüssel des Nostr-Kontos, während der Rest (momostr.pink.ap.brid.gy) einige Hinweise auf die zur Überbrückung der Beiträge verwendeten Tools enthält ( Momostr und Bridgy Fed).“
Das Botnetz konnte den „Vote Trump“-Spam kontinuierlich posten, bis Bluesky gegen die Spam-Konten vorging. Der Datensatz für die Analyse war unvollständig, da Bluesky begann, Konten zu entfernen, während die Daten gesammelt wurden. Aus den gesammelten Daten geht jedoch hervor, dass es mindestens 228 Konten gelungen ist, innerhalb von nur sechs Stunden 470 Mal zu posten. Etwa die Hälfte davon waren „Vote Trump“-Posts, während andere „Hallo Welt“ mit einem zufälligen Adjektiv zwischen den beiden Wörtern posteten.
Bluesky wehrte den Angriff relativ schnell ab und löschte die Spam-Konten. Das Unternehmen hat noch nicht auf Anfragen nach einer Stellungnahme dazu geantwortet, ob es seine Herangehensweise an Spam oder Bridges ändern wird.
Wie die Website The Fediverse Report betonte, war diese Art von Spam-Angriff möglich, weil Mit Nostr ist die Erstellung neuer Konten besonders einfach. Der Vorfall wirft erneut die Frage auf, was das Fediversum – also die dezentralen sozialen Medien – eigentlich ist. Wenn Sie Bluesky beitreten, stimmen Sie zu, Teil eines Netzwerks zu sein, das Nostr-Inhalte enthält? Beinhaltet Blueskys Netzwerk Mastodon, weil eine Brücke gebaut wurde?
Das sind Fragen, auf die es noch keine konkreten Antworten gibt.