حمله هرزنامه‌ای که بر رقیب متن‌باز X Mastodon، Misskey و سایر برنامه‌ها تأثیر گذاشت، نشان می‌دهد که چگونه وب اجتماعی غیرمتمرکز، همچنین به عنوان Fediverse شناخته می‌شود، برای سوءاستفاده باز است. در چند روز گذشته، مهاجمان سرورهای کوچکتر Mastodon را هدف قرار داده اند و از ثبت نام های باز برای ایجاد خودکار حساب های اسپم استفاده کرده اند. بنیانگذار و مدیر عامل Mastodon یوگن روچکو در پستی در آخر هفته حمله را تأیید کرد و گفت که مدیران سرور Mastodon باید ثبت نام را به حالت تأیید تغییر دهند و ارائه دهندگان ایمیل دفع را برای کمک به مبارزه با مشکل مسدود کنند.

در حالی که این اولین حمله هرزنامه ای نیست که فدیورس را تحت تأثیر قرار می دهد، روچکو خاطرنشان می کند که قبلاً فقط سرورهای بزرگتری مانند Mastodon.social هدف قرار گرفته بودند. از آنجایی که آن سرور توسط تیم خود Mastodon اداره می شود، آنها خودشان توانسته اند این حملات را کاهش دهند. چیزی که این بار متفاوت است این است که هرزنامه‌ها سرورهای کوچک‌تر و حتی متروکه‌ای را که ثبت نام باز را ارائه می‌دهند، هدف قرار داده‌اند و به بازیگران بد اجازه می‌دهد تا به سرعت حساب‌ها ایجاد کنند و هرزنامه تولید کنند.

اعتبار تصویر: یوگن روچکو در Mastodon

این حمله خاص، که زمانی که مهاجمان متوجه شدند می‌توانند هرزنامه‌نویسی کنند، کاملاً خودکار شد، به دلیل اختلاف بین گروه‌ها در Discord، که در آن یک طرف در تلاش بود تا سرور Discord طرف دیگر را ممنوع کند، بر اساس گزارش‌های Mastodon ایجاد شد. بسیاری از اهداف دیگر اسپمرها تنها Mastodon نبودند - آنها Misskey را نیز هدف قرار می دادند. (Misskey یک پلتفرم وبلاگ نویسی منبع باز و غیرمتمرکز است که از پروتکل ActivityPub مانند Mastodon، Pixelfed، PeerTube و دیگران استفاده می کند و به کاربران خود اجازه می دهد تا با سایر پلتفرم های اجتماعی فدرال تعامل داشته باشند.)

حمله هرزنامه یکی از نقاط ضعفی که در ساختار Fediverse به وجود می آید را برجسته کرد. Mastodon نرم افزار منبع باز است که هر کسی می تواند آن را بر روی سرور خود نصب کند، اساساً نمونه یا گره خود را ایجاد می کند که با دیگر سرورهای شبکه اجتماعی فدرال متصل می شود که توسط پروتکل ActivityPub پشتیبانی می شود.

از آنجا که سرورهای کوچکتر Mastodon اغلب پروژه های سرگرمی هستند که توسط علاقه مندان اجرا می شوند، در برابر این نوع حملات آسیب پذیر هستند. اگر ادمین های سرور به طور روزانه به سرورهای خود توجه نمی کردند و ثبت نام های باز ارائه می کردند، احتمالا قربانی اسپم می شدند.

یا همانطور که یکی از ادمین سرور، @Chris@mastodon.cosmicnation.co اشاره کرد، «به برخی از مدیران نمونه یادآوری شد که یک نمونه دارند. و ما همچنین متوجه شدیم که بسیاری از موارد رها شده وجود دارد که درب آنها کاملاً برای ثبت نام بدون تأیید باز است.

طی چند روز گذشته، مدیران سرور با هم کار کردند تا فهرست ‌های مستمری از نمونه‌های رها شده ایجاد کنند که مدیران دیگر می‌توانند به عنوان پایه‌ای برای فهرست بلاک برای محافظت از کاربران خود در برابر حملات هرزنامه استفاده کنند. بسیاری از سرورها به سادگی خاموش شدند زیرا مدیران آنها تصمیم گرفتند که راحت‌تر از همه منتظر حمله باشند یا به طور کلی Mastodon را رها کنند.

برنامه محبوب شخص ثالث Mastodon Ivory، از Tapbots، یک به‌روزرسانی اضطراری منتشر کرد که شامل یک فیلتر سفارشی به نام «هرزنامه‌های احتمالی» در برگه فیلتر آن بود که به کاربران اجازه می‌داد تا نام‌های هرزنامه را بی‌صدا کنند. به گفته این شرکت، کاربران آسیب دیده می‌توانند این فیلتر را روشن کنند تا بیشتر هرزنامه‌ها را دریافت کنند، اما نمی‌توانند اعلان‌های ارسال هرزنامه را متوقف کنند.

به نظر می رسد که این حمله از صبح امروز در حال پایان است. تیم چمبرز، فن‌آور و محقق (@tchambers@indieweb.social) بيان کرد که امروز اولین روزی بود که در چهار روز گذشته کمتر از 40 حساب هرزنامه برای تعلیق روی سروری که مدیریت می‌کرد داشت.

در حالی که برخی این تجربه را برای شبکه اجتماعی و فدیورس گسترده‌تر مثبت می‌دانستند، زیرا ضعفی را نشان می‌داد که اکنون قابل بحث و تحلیل است، برخی دیگر از این تجربه و عدم پاسخ روچکو در ساعات اولیه حمله عصبانی بودند.

"این تجربه ماستودون را برای من خراب می کند. یکی از ادمین سرور Mastodon sam@urbanists.social نوشت. آنها گفتند: "و ادامه سکوت یوجن در مورد مشکل کمکی به این موضوع نمی کند."

از Mastodon برای اظهار نظر خواسته شده است، اما بلافاصله ارائه نشده است.

از زمان ورود Threads اینستاگرام، یکی دیگر از رقبای توییتر/X که همچنین قصد دارد با استفاده از ActivityPub فدرال شود، استفاده از Mastodon رو به کاهش بوده است.

در اکتبر سال گذشته، Mastodon رشد کرده بود و حدود 1.8 میلیون کاربر فعال ماهانه را شامل می شد. تا زمانی که Threads به صورت عمومی راه اندازی شد، به 1.5 میلیون کاهش یافت. از زمان راه اندازی عمومی Bluesky در این ماه، یک شبکه اجتماعی غیرمتمرکز دیگر بر اساس پروتکل متفاوت (که به این معنی است که بخشی از همان Fediverse نیست، حداقل تا زمانی که یک پل ساخته شود)، استفاده از Mastodon به 1 میلیون کاربر فعال ماهانه کاهش یافته است. با توجه به صفحه اصلی این شرکت، امروزه استفاده از Mastodon در اینج است. فدیورس گسترده تر، که شامل Mastodon و سایر برنامه ها می شود، حدود 2.9 میلیون کاربر فعال ماهانه دارد. ورود Thread ها به این فضا، دیگر سرورهای Mastodon را کوچک می کند و می تواند به تخصص فنی متا در زمینه هایی مانند جلوگیری از هرزنامه کمک کند، اما بسیاری نگران هستند که هدف نهایی Meta اساساً تحت کنترل گرفتن Fediverse با تبدیل شدن به مشتری پیش فرضی باشد که کاربران انتخاب می کنند و از آن استفاده می کنند. منابع قابل توجهی برای مقیاس پذیری برنامه متا.

خبرکاو