Embora a interface seja semelhante ao Twitter, ela não é administrada por uma única entidade ou empresa. Em vez disso, ele opera como uma plataforma gratuita e de código aberto que executa serviços de rede social auto-hospedados, informou a SecurityWeek .
Como resultado, existem milhares de servidores Mastodon individuais, mas interconectados, chamados de “instâncias” nas quais os usuários podem ingressar. As regras podem variar nesses diferentes servidores, mas uma preocupação maior para os usuários deve ser a segurança aparentemente negligente.
Vulnerabilidades descobertas
“O Mastodon emergiu rapidamente como o destino preferido de muitos que optaram por deixar o Twitter nas últimas semanas”, disse Melissa Bischoping, diretora e especialista em pesquisa de segurança de terminais da Tanium.
Por e-mail, ela disse que a plataforma descentralizada de código aberto tem muitas vantagens e espera-se que o crescimento da popularidade leve a recursos e funcionalidades adicionais à medida que a plataforma de código aberto continua a amadurecer.
“Dito isso, aqueles que se juntam ao Mastodon não devem considerá-lo uma substituição do Twitter igual a igual, e devem estar cientes dos recursos exclusivos do ‘Fediverse'”, observou Bischoping.
“Embora seja um projeto de código aberto há anos, nunca chegou perto da carga do servidor e do escrutínio que teve recentemente”, acrescentou Maynor, que sugeriu ainda que muitos bugs críticos foram facilmente descobertos com scanners de vulnerabilidade.
Além do código, a maneira como o Mastodon é segmentado significa que uma ou duas pessoas que administram uma determinada instância são o elo fraco no modelo de segurança.
Plataforma descentralizada vem com riscos
A questão é literalmente como o Mastodon foi concebido. Cada instância é gerenciada por um administrador, que tem controle sobre a infraestrutura e os softwares rodando nos servidores.
No entanto, como muitas dessas instâncias são executadas por pequenas entidades ou operadores individuais sem grandes orçamentos ou equipes de segurança, os usuários não devem presumir que qualquer instância seja segura ou privada.
“Isso não significa que você não deva usá-lo, mas significa que você não deve assumir que nenhum dado compartilhado lá está criptografado ou protegido contra roubo ou apreensão pela aplicação da lei”, continuou Bischoping. “Trate o ‘Fediverse’ e qualquer instância do Mastodon como um lugar para compartilhar informações, conectar e colaborar da mesma forma que faria essas coisas pessoalmente em uma praça da cidade ou em um café público.”
Resumindo, Bischoping sugeriu que o Mastodon não deve ser usado como substituto de outras formas de comunicação, como e-mail mais seguro ou mensagens ponto a ponto criptografadas.