No início desta semana, pesquisadores de segurança cibernética colocaram o Mastodon, o app alternativo ao Twitter, sob o microscópio e descobriram que a plataforma de mídia social descentralizada tinha inúmeras vulnerabilidades e outros problemas de segurança. Mastodon viu um aumento no número de usuários desde que o empresário de tecnologia Elon Musk assumiu o controle do Twitter, já que muitos questionaram as políticas de Musk, bem como sua reintegração de figuras controversas, incluindo o ex-presidente Donald Trump.
Embora a interface seja semelhante ao Twitter, ela não é administrada por uma única entidade ou empresa. Em vez disso, ele opera como uma plataforma gratuita e de código aberto que executa serviços de rede social auto-hospedados, informou a SecurityWeek .
Como resultado, existem milhares de servidores Mastodon individuais, mas interconectados, chamados de “instâncias” nas quais os usuários podem ingressar. As regras podem variar nesses diferentes servidores, mas uma preocupação maior para os usuários deve ser a segurança aparentemente negligente.
Vulnerabilidades descobertas
Os pesquisadores já descobriram uma vulnerabilidade de injeção de HTML que pode ser usada para roubar as credenciais dos usuários, enquanto outra pode permitir que um hacker baixe todos os arquivos em um servidor, incluindo fotos compartilhadas enviadas por mensagens diretas.
“O Mastodon emergiu rapidamente como o destino preferido de muitos que optaram por deixar o Twitter nas últimas semanas”, disse Melissa Bischoping, diretora e especialista em pesquisa de segurança de terminais da Tanium.
Por e-mail, ela disse que a plataforma descentralizada de código aberto tem muitas vantagens e espera-se que o crescimento da popularidade leve a recursos e funcionalidades adicionais à medida que a plataforma de código aberto continua a amadurecer.
“Dito isso, aqueles que se juntam ao Mastodon não devem considerá-lo uma substituição do Twitter igual a igual, e devem estar cientes dos recursos exclusivos do ‘Fediverse'”, observou Bischoping.
“O Mastodon não é a panaceia que muitas pessoas que fogem do Twitter podem pensar que é”, alertou David Maynor, diretor sênior de Threat Intelligence da empresa de pesquisa de segurança Cybrary, por e-mail.
“Embora seja um projeto de código aberto há anos, nunca chegou perto da carga do servidor e do escrutínio que teve recentemente”, acrescentou Maynor, que sugeriu ainda que muitos bugs críticos foram facilmente descobertos com scanners de vulnerabilidade.
Além do código, a maneira como o Mastodon é segmentado significa que uma ou duas pessoas que administram uma determinada instância são o elo fraco no modelo de segurança.
Plataforma descentralizada vem com riscos
A questão é literalmente como o Mastodon foi concebido. Cada instância é gerenciada por um administrador, que tem controle sobre a infraestrutura e os softwares rodando nos servidores.
“Isso significa que você está confiando nos administradores para proteger e manter sua instância e confiando que eles protegerão sua conta”, disse Bischoping.
No entanto, como muitas dessas instâncias são executadas por pequenas entidades ou operadores individuais sem grandes orçamentos ou equipes de segurança, os usuários não devem presumir que qualquer instância seja segura ou privada.
“Isso não significa que você não deva usá-lo, mas significa que você não deve assumir que nenhum dado compartilhado lá está criptografado ou protegido contra roubo ou apreensão pela aplicação da lei”, continuou Bischoping. “Trate o ‘Fediverse’ e qualquer instância do Mastodon como um lugar para compartilhar informações, conectar e colaborar da mesma forma que faria essas coisas pessoalmente em uma praça da cidade ou em um café público.”
Resumindo, Bischoping sugeriu que o Mastodon não deve ser usado como substituto de outras formas de comunicação, como e-mail mais seguro ou mensagens ponto a ponto criptografadas.
Não deve ser usado “para enviar informações confidenciais, pessoais ou privadas que você não se sentiria confortável em postar publicamente de qualquer maneira”, acrescentou Bischoping. “Dado o potencial de vulnerabilidades e exploração, siga as melhores práticas para gerenciamento de contas – senhas exclusivas e autenticação multifator. Por fim, muitas instâncias foram configuradas especificamente para testar a segurança e relatar bugs e vulnerabilidades, portanto, o hacking ético e a comunidade de caçadores de bugs podem continuar a contribuir e melhorar a segurança da plataforma à medida que sua popularidade cresce.”