Des experts en sécurité exposent les failles de Mastodon

Des experts en sécurité exposent les failles de Mastodon

La popularité croissante de Mastodon, en partie un effet secondaire de l'achat de Twitter par Elon Musk, a conduit à un certain nombre de découvertes de vulnérabilités dans l'application.

Les chercheurs en cybersécurité utilisant la plate-forme ont récemment découvert trois vulnérabilités distinctes qui pourraient permettre aux acteurs de la menace de manipuler des données ou même de les télécharger.

Par exemple, le chercheur de PortSwigger, Gareth Heyes, a découvert une vulnérabilité d'injection HTML. Un ingénieur en logiciel de sécurité MinIO, Lenin Alevski, a découvert une mauvaise configuration du système qui lui permettait de télécharger, de modifier et même de supprimer n'importe quoi dans le bucket de stockage cloud S3 d'une instance Mastodon, et Anurag Sen a trouvé un serveur anonyme extrayant les données utilisateur de Mastodon.

Des milliers de nouveaux utilisateurs

Chaque fois qu'il y a un changement tectonique sur une plate-forme de médias sociaux, certains utilisateurs décident qu'il vaut mieux déménager ailleurs.

La récente acquisition de Twitter par Elon Musk n'est pas différente, certains rapports affirmant que Mastodon comptait jusqu'à 30 000 nouveaux utilisateurs chaque jour dans les jours précédant l'acquisition (contre 2000 7 par jour). Le 135.000 novembre, Mastodon a accueilli XNUMX XNUMX nouvelles personnes.

La popularité croissante signifie également une surveillance accrue, ce qui n'est pas nécessairement une mauvaise chose. Mastodon a toujours été considéré comme une bonne alternative à Twitter, et découvrir et corriger diverses vulnérabilités ne peut qu'en faire un concurrent plus fort.

Contrairement à Bluebird, Mastodon est une plate-forme sociale décentralisée qui comprend un certain nombre de serveurs qui peuvent communiquer entre eux mais fonctionnent essentiellement séparément, avec des règles et des paramètres distincts. Ces serveurs et communautés sont appelés instances.

S'adressant à la publication, Melissa Bischoping, directrice et spécialiste de la recherche en sécurité des terminaux (ouvre dans un nouvel onglet) chez Tanium, a averti les utilisateurs de ne pas partager de données sensibles (ouvre dans un nouvel onglet) via la plateforme.

"N'utilisez pas Mastodon pour soumettre des informations confidentielles, personnelles ou privées que vous ne seriez pas à l'aise de publier de toute façon", a-t-il déclaré.

Via : Dark Reading (s'ouvre dans un nouvel onglet)