حمله اسپم به رقیب توییتر/X Mastodon آسیبپذیریهای «Fediverse» را برجسته میکند
حمله هرزنامهای که بر رقیب متنباز X Mastodon، Misskey و سایر برنامهها تأثیر گذاشت، نشان میدهد که چگونه وب اجتماعی غیرمتمرکز، همچنین به عنوان Fediverse شناخته میشود، برای سوءاستفاده باز است. در چند روز گذشته، مهاجمان سرورهای کوچکتر Mastodon را هدف قرار داده اند و از ثبت نام های باز برای ایجاد خودکار حساب های اسپم استفاده کرده اند. بنیانگذار و مدیر عامل Mastodon یوگن روچکو در پستی در آخر هفته حمله را تأیید کرد و گفت که مدیران سرور Mastodon باید ثبت نام را به حالت تأیید تغییر دهند و ارائه دهندگان ایمیل دفع را برای کمک به مبارزه با مشکل مسدود کنند.
در حالی که این اولین حمله هرزنامه ای نیست که فدیورس را تحت تأثیر قرار می دهد، روچکو خاطرنشان می کند که قبلاً فقط سرورهای بزرگتری مانند Mastodon.social هدف قرار گرفته بودند. از آنجایی که آن سرور توسط تیم خود Mastodon اداره می شود، آنها خودشان توانسته اند این حملات را کاهش دهند. چیزی که این بار متفاوت است این است که هرزنامهها سرورهای کوچکتر و حتی متروکهای را که ثبت نام باز را ارائه میدهند، هدف قرار دادهاند و به بازیگران بد اجازه میدهد تا به سرعت حسابها ایجاد کنند و هرزنامه تولید کنند.
این حمله خاص، که زمانی که مهاجمان متوجه شدند میتوانند هرزنامهنویسی کنند، کاملاً خودکار شد، به دلیل اختلاف بین گروهها در Discord، که در آن یک طرف در تلاش بود تا سرور Discord طرف دیگر را ممنوع کند، بر اساس گزارشهای Mastodon ایجاد شد. بسیاری از اهداف دیگر اسپمرها تنها Mastodon نبودند - آنها Misskey را نیز هدف قرار می دادند. (Misskey یک پلتفرم وبلاگ نویسی منبع باز و غیرمتمرکز است که از پروتکل ActivityPub مانند Mastodon، Pixelfed، PeerTube و دیگران استفاده می کند و به کاربران خود اجازه می دهد تا با سایر پلتفرم های اجتماعی فدرال تعامل داشته باشند.)
حمله هرزنامه یکی از نقاط ضعفی که در ساختار Fediverse به وجود می آید را برجسته کرد. Mastodon نرم افزار منبع باز است که هر کسی می تواند آن را بر روی سرور خود نصب کند، اساساً نمونه یا گره خود را ایجاد می کند که با دیگر سرورهای شبکه اجتماعی فدرال متصل می شود که توسط پروتکل ActivityPub پشتیبانی می شود.
از آنجا که سرورهای کوچکتر Mastodon اغلب پروژه های سرگرمی هستند که توسط علاقه مندان اجرا می شوند، در برابر این نوع حملات آسیب پذیر هستند. اگر ادمین های سرور به طور روزانه به سرورهای خود توجه نمی کردند و ثبت نام های باز ارائه می کردند، احتمالا قربانی اسپم می شدند.
یا همانطور که یکی از ادمین سرور، @Chris@mastodon.cosmicnation.co اشاره کرد، «به برخی از مدیران نمونه یادآوری شد که یک نمونه دارند. و ما همچنین متوجه شدیم که بسیاری از موارد رها شده وجود دارد که درب آنها کاملاً برای ثبت نام بدون تأیید باز است.
طی چند روز گذشته، مدیران سرور با هم کار کردند تا فهرست های مستمری از نمونههای رها شده ایجاد کنند که مدیران دیگر میتوانند به عنوان پایهای برای فهرست بلاک برای محافظت از کاربران خود در برابر حملات هرزنامه استفاده کنند. بسیاری از سرورها به سادگی خاموش شدند زیرا مدیران آنها تصمیم گرفتند که راحتتر از همه منتظر حمله باشند یا به طور کلی Mastodon را رها کنند.
برنامه محبوب شخص ثالث Mastodon Ivory، از Tapbots، یک بهروزرسانی اضطراری منتشر کرد که شامل یک فیلتر سفارشی به نام «هرزنامههای احتمالی» در برگه فیلتر آن بود که به کاربران اجازه میداد تا نامهای هرزنامه را بیصدا کنند. به گفته این شرکت، کاربران آسیب دیده میتوانند این فیلتر را روشن کنند تا بیشتر هرزنامهها را دریافت کنند، اما نمیتوانند اعلانهای ارسال هرزنامه را متوقف کنند.
به نظر می رسد که این حمله از صبح امروز در حال پایان است. تیم چمبرز، فنآور و محقق (@tchambers@indieweb.social) بيان کرد که امروز اولین روزی بود که در چهار روز گذشته کمتر از 40 حساب هرزنامه برای تعلیق روی سروری که مدیریت میکرد داشت.
در حالی که برخی این تجربه را برای شبکه اجتماعی و فدیورس گستردهتر مثبت میدانستند، زیرا ضعفی را نشان میداد که اکنون قابل بحث و تحلیل است، برخی دیگر از این تجربه و عدم پاسخ روچکو در ساعات اولیه حمله عصبانی بودند.
"این تجربه ماستودون را برای من خراب می کند. یکی از ادمین سرور Mastodon sam@urbanists.social نوشت. آنها گفتند: "و ادامه سکوت یوجن در مورد مشکل کمکی به این موضوع نمی کند."
از Mastodon برای اظهار نظر خواسته شده است، اما بلافاصله ارائه نشده است.
از زمان ورود Threads اینستاگرام، یکی دیگر از رقبای توییتر/X که همچنین قصد دارد با استفاده از ActivityPub فدرال شود، استفاده از Mastodon رو به کاهش بوده است.
در اکتبر سال گذشته، Mastodon رشد کرده بود و حدود 1.8 میلیون کاربر فعال ماهانه را شامل می شد. تا زمانی که Threads به صورت عمومی راه اندازی شد، به 1.5 میلیون کاهش یافت. از زمان راه اندازی عمومی Bluesky در این ماه، یک شبکه اجتماعی غیرمتمرکز دیگر بر اساس پروتکل متفاوت (که به این معنی است که بخشی از همان Fediverse نیست، حداقل تا زمانی که یک پل ساخته شود)، استفاده از Mastodon به 1 میلیون کاربر فعال ماهانه کاهش یافته است. با توجه به صفحه اصلی این شرکت، امروزه استفاده از Mastodon در اینج است. فدیورس گسترده تر، که شامل Mastodon و سایر برنامه ها می شود، حدود 2.9 میلیون کاربر فعال ماهانه دارد. ورود Thread ها به این فضا، دیگر سرورهای Mastodon را کوچک می کند و می تواند به تخصص فنی متا در زمینه هایی مانند جلوگیری از هرزنامه کمک کند، اما بسیاری نگران هستند که هدف نهایی Meta اساساً تحت کنترل گرفتن Fediverse با تبدیل شدن به مشتری پیش فرضی باشد که کاربران انتخاب می کنند و از آن استفاده می کنند. منابع قابل توجهی برای مقیاس پذیری برنامه متا.
ارسال نظر