Aparecen nubes negras sobre el cielo de Mastodon. Diferentes expertos en seguridad han señalado que servidores anónimos dentro del Fediverso de esta red social recopilan información del usuario sin su permiso y que la aplicación tiene errores de configuración que genera diferentes vulnerabilidades en las cuentas privadas.
Mastodon es una red social alternativa a Twitter a la que muchos usuarios se han ido registrando durante las últimas semanas tras el impacto que la llegada de Elon Musk ha tenido en la plataforma del pájaro azul.
Prueba de ellos es que Mastodon superó el millón de usuarios mensuales a principios de noviembre, una cifra inaudita para esta red social desde su lanzamiento al mundo online en el año 2016.
Sin embargo, no es oro todo lo que reluce en Mastodon. Al igual que ocurre, por ejemplo, con la inseguridad en las cuentas verificadas de Twitter, la creación de Eugen Rochko tiene sus propios problemas de privacidad.
Tal y como ya te explicamos en nuestro informe sobre el Fediverso, Mastodon está formado por unas federaciones de servidores que pueden comunicarse entre sí, pero que cada uno de sus administradores gestionan de manera independiente. Es decir, es un sistema interconectado pero descentralizado.
Por tanto, cada uno de estos servidores e instancias se rige por sus propias normas. Esto significa que los usuarios y las publicaciones que se pueden realizar estarán bajo el paraguas de diferentes reglas, configuraciones e incluso versiones del software. Y ahí residen algunos de los problemas de seguridad de Mastodon.
Una de las instancias más populares de esta red social y que está relacionada con la ciberseguridad es infosec.exchange. En ella, sus miembros analizan aspectos relacionados con la configuración de Mastodon.
Gareth Heyes (conocido como @gaz), investigador de PortSwigger, descubrió una vulnerabilidad relacionada con la inyección de HTML derivada de los atributos de la bifurcación del software utilizado.
Otro ejemplo de brecha en el sistema de protección de Mastodon la muestra en un artículo Lenin Alevski (@alevsk en la red social Twitter), un ingeniero de seguridad de MinIO que señaló que una configuración incorrecta del sistema permitía descargar, modificar o eliminar información contenida en la nube S3 de la instancia.
Es enserio? hoy me hice una cuenta en https://t.co/zk9tNavb46 #Mastodon y encontre una vulnerabilidad (que ya fue reportada) en los primeros 10 minutos de haber usado la plataforma pic.twitter.com/joo9qoY6xq
— Lenin Alevski | @alevsk@infosec.exchange (@Alevsk) November 18, 2022
El último ejemplo de estos problemas los expuso Anurag Sen (@hak1mlukha), un experto en seguridad que descubrió un servidor anónimo dentro del Fediverso de Mastodon desde el que se extraían datos de sus usuarios.
Considerando todo lo anterior y como recomendación, cerramos esta noticia con las declaraciones de Melissa Bischoping, especialista de seguridad en Tanium:
