Mastodon | Pesquisadores alertam para falhas de segurança em rede social

A saga de Elon Musk à frente do Twitter e a busca dos usuários por alternativas levou muita gente ao Mastodon. A rede social descentralizada, em que os usuários criam suas contas em servidores específicos e interagem uns com os outros, voltou aos holofotes, o que também fez com que três pesquisadores em segurança digital apontassem brechas de configuração e problemas de segurança nos espaços, gerando riscos aos dados dos usuários.

• O que é Mastodon? Conheça a rede social alternativa ao Twitter
• Entenda as diferenças entre Mastodon e Twitter

Em dois relatórios, o olhar se deu sobre a instância Infosec.exchange, bastante usada por especialistas em segurança digital. Na mais grave das brechas, apontada pelo pesquisador da empresa especializada em cloud MinIO, lenin Alevski, uma configuração mal-feita no servidor em que o sistema funciona pode levar ao download e manipulação dos dados de todos os usuários, incluindo arquivos e mensagens trocadas de forma direta ou privada entre eles.

Outra brecha está nos bastidores e foi revelada por Gareth Heyes, pesquisador da empresa de cibersegurança PortSwigger. Também localizada no Infosec.exchange, a abertura permite a injeção de códigos HTML no servidor; a partir do clique em um elemento malicioso desse tipo, atacantes poderiam obter credenciais e dados salvos nos navegadores dos usuários, colocando informações não só do Mastodon, mas também de outros serviços, em risco.

O alerta é específico à instância citada e já foi corrigido por ela assim que os relatórios de segurança chegaram, mas os especialistas apontam que as brechas também podem existir em outros servidores. O próprio Alevski, por exemplo, já disse ter notificado outros espaços sobre a mesma falha, enquanto a segunda vulnerabilidade faz parte de um fork do Mastodon, o Glitch, cuja correção também já foi liberada, mas pode ainda não ter sido aplicada por todos os administradores.

"Parece que alguém já está raspando o Mastodon, atualmente, são 150 mil usuários e contando."

Já o pesquisador independente Anurag Sen disse ter encontrado um servidor completamente desprotegido, cujo banco de dados expõe as informações de cerca de 150 mil pessoas. Nomes de usuário, datas de acesso, contagem de servidores e demais informações públicas estão disponíveis, enquanto o especialista aponta que bots já estão agindo para localizar instâncias abertas desse tipo e raspar os dados dos utilizadores para venda de volumes ou uso em fraudes.

A recomendação de segurança quanto ao uso do Mastodon é a busca por instâncias confiáveis e que tenham comunidade ativa, que agirá rapidamente ao receber um reporte de segurança. Medidas usuais, também, valem aqui, como o uso de senhas seguras e únicas e a atenção às informações compartilhadas publicamente, bem como a atenção a links maliciosos ou conteúdos suspeitos.

Fonte: Security Week