Ein Spam-Angriff, der sich auf die Open-Source-X-Konkurrenten Mastodon, Misskey und andere Apps auswirkte, zeigt, wie anfällig das dezentrale soziale Web, auch bekannt als Fediverse, für Missbrauch ist. In den letzten Tagen haben Angreifer kleinere Mastodon-Server ins Visier genommen und offene Registrierungen ausgenutzt, um die Erstellung von Spam-Konten zu automatisieren. Mastodon-Gründer und CEO Eugen Rochko bestätigte den Angriff in einem Beitrag am Wochenende hinzugefügt und hinzugefügt, dass Mastodon-Serveradministratoren die Registrierung in den Genehmigungsmodus umstellen und E-Mail-Anbieter für die Entsorgung blockieren sollten, um das Problem zu bekämpfen.
Obwohl dies nicht der erste Spam-Angriff ist, der sich auf das Fediverse ausgewirkt hat, stellt Rochko fest, dass nur größere Server davon betroffen sind Mastodon.sozial war bereits zuvor ins Visier genommen worden. Da dieser Server von Mastodons eigenem Team betrieben wird, konnten sie diese Angriffe selbst abwehren. Was dieses Mal anders ist, ist, dass die Spammer es auf kleinere und sogar verlassene Server abgesehen haben, die eine offene Registrierung anbieten, sodass die Angreifer schnell Konten erstellen und Spam generieren können.
Bildnachweis: Eugen Rochko über Mastodon
Dieser spezielle Angriff, der vollständig automatisiert ablief, als die Angreifer erfuhren, dass sie Spam-Skripts erstellen konnten, war es durch einen Streit verursacht Berichten auf Mastodon zufolge versuchte eine Seite, den Discord-Server der anderen Seite sperren zu lassen. (Mehr Details dazu hier.) Viele der anderen Ziele der Spammer waren nicht nur Mastodon – sie hatten es auch im Visier Misskey. (Misskey ist eine dezentrale Open-Source-Blogging-Plattform, die wie Mastodon, Pixelfed, PeerTube und andere das ActivityPub-Protokoll verwendet und es ihren Benutzern ermöglicht, mit denen auf anderen verbundenen sozialen Plattformen zu interagieren.) Als Ursprung des Spams Scheint ein japanisches Forum zu seinViele der Ziele befanden sich auch in Japan.
Der Spam-Angriff hat eine der Schwächen deutlich gemacht, die mit der Struktur des Fediverse einhergehen. Mastodon ist eine Open-Source-Software, die jeder auf seinem eigenen Server installieren kann und im Wesentlichen eine eigene Instanz oder einen eigenen Knoten erstellt, der sich mit anderen Verbundservern sozialer Netzwerke verbindet und auf dem ActivityPub-Protokoll basiert.
Da es sich bei den kleineren Servern von Mastodon oft um Hobbyprojekte handelt, die von Enthusiasten betrieben werden, waren sie für diese Art von Angriffen anfällig. Wenn die Serveradministratoren ihren Servern nicht täglich Aufmerksamkeit schenkten und offene Registrierungen anboten, waren sie wahrscheinlich Opfer des Spams.
Oder als ein Serveradministrator, @[email protected] bemerkte: „Einige Instanzadministratoren wurden daran erinnert, dass sie eine Instanz hatten. Und wir haben auch erfahren, dass es VIELE verlassene Instanzen gibt, deren Tür für eine Registrierung ohne Genehmigung weit offen steht.“
In den letzten Tagen, Server Admins zusammengearbeitet Zu Erstellen Sie fortlaufende Listen von verlassenen Instanzen, die andere Administratoren als Grundlage für eine Sperrliste verwenden könnten, um ihre eigenen Benutzer vor Spam-Angriffen zu schützen. Viele Server wurden einfach abgeschaltet, da ihre Administratoren entschieden, dass es am einfachsten sei, den Angriff abzuwarten oder Mastodon ganz aufzugeben.
Die beliebte Mastodon-App Ivory von Tapbots, hat ein Notfall-Update veröffentlicht Dazu gehörte auf der Registerkarte „Filter“ ein benutzerdefinierter Filter namens „Potenzieller Spam“, mit dem Benutzer Spam-Erwähnungen stummschalten konnten. Betroffene Benutzer konnten diesen Filter aktivieren, um den Großteil des Spams abzufangen, konnten Spam-Push-Benachrichtigungen jedoch nicht stoppen, so das Unternehmen.
Der Angriff scheint seit heute Morgen nachzulassen. Technologe und Forscher Tim Chambers (@[email protected]) stellte fest, dass er heute zum ersten Mal seit vier Tagen weniger als 40 Spam-Konten auf dem von ihm verwalteten Server sperren musste. Mastodon teilt Tech mit, dass Mastodon auf aktiven Servern mit einem reaktiven Moderationsteam über mehrere Tools verfügt, um die automatische Kontoregistrierung zu verhindern, darunter den Genehmigungsmodus, CAPTCHAs und verschiedene Blockierungstools, sodass der Angreifer sehr schnell behandelt werden konnte. Es wurde auch darauf hingewiesen, dass der Spam-Angriff nachließ, da die beiden Hackergruppen offenbar Frieden geschlossen hatten.
Während einige die Erfahrung als positiv für das soziale Netzwerk und das gesamte Fediverse betrachteten, da sie eine Schwäche offenbarte, die nun diskutiert und behoben werden konnte, waren andere verärgert über die Erfahrung und Rochkos mangelnde Reaktion in den ersten Stunden des Angriffs.
„Das ruiniert für mich mein Mastodon-Erlebnis. Es bringt mich dazu, wegzugehen und aufzugeben“, schrieb ein Mastodon-Serveradministrator [email protected]. „Und Eugens anhaltendes Schweigen zu dem Problem hilft dabei nicht“, sagten sie.
Renaud Chaput, CTO von Mastodon, sagte, der Angriff werde das Unternehmen dazu veranlassen, seine Software zu verbessern.
„Im Moment gibt es keine guten integrierten Tools, um damit umzugehen, da es sich um ein komplexes Thema handelt – Verbundnetzwerke sind nicht einfach!“ – aber wir haben viele Ideen, wie wir unsere Funktionen zur Spam- und Missbrauchsbekämpfung verbessern können“, sagte er. „Daran wird in den kommenden Monaten gearbeitet. Wir arbeiten ständig an der Verbesserung der Software (die letzte Version führte optionale Captcha-Unterstützung ein). Eine weitere Maßnahme, die wir heute ergriffen haben, besteht darin, die Einstellung für neue Instanzen so zu ändern, dass sie standardmäßig nicht weit geöffnet sind, und ein Banner hinzuzufügen, um Administratoren daran zu erinnern, dass vollständig geöffnete Instanzen aktiv moderiert werden müssen, sodass dies eine sorgfältige Entscheidung des Administrators sein muss “, fügte Chaput hinzu.
Seit der Einführung von Instagram Threads, einem weiteren Twitter/X-Konkurrenten, der ebenfalls plant, sich mithilfe von ActivityPub zusammenzuschließen, ist die Mastodon-Nutzung rückläufig.
Im Oktober letzten Jahres war Mastodon auf rund 1,8 Millionen monatlich aktive Nutzer angewachsen. Als Threads öffentlich veröffentlicht wurde, war die Zahl auf 1,5 Millionen gesunken. Seit dem öffentlichen Start von Bluesky in diesem Monat, einem weiteren dezentralen sozialen Netzwerk, das auf einem anderen Protokoll basiert (was bedeutet, dass es nicht Teil desselben Fediverse ist, zumindest bis eine Brücke gebaut ist), wurde Mastodon bereits verwendet fallen gelassen bis zu 1 Million monatlich aktive Benutzer.
Laut der Homepage des Unternehmens wird Mastodon dort auch heute noch verwendet. Das breitere Fediverse, zu dem Mastodon und andere Apps gehören, hat rund 2,9 Millionen monatlich aktive Benutzer. Der Einstieg von Threads in diesen Bereich wird andere Mastodon-Server in den Schatten stellen und könnte Metas technisches Know-how in Bereichen wie der Spam-Prävention verleihen, aber viele befürchten, dass Metas ultimatives Ziel im Wesentlichen darin bestehen wird, das Fediverse zu übernehmen, indem es zum Standard-Client wird, den Benutzer auswählen und verwenden erhebliche Ressourcen, um die Einführung der Meta-App zu skalieren.
Aktualisiert am 20.02.24 um 13:31 Uhr, um einen Mastodon-CTO-Kommentar hinzuzufügen