Bu haftanın başlarında, siber güvenlik araştırmacıları Twitter alternatifi Mastodon’u incelemeye aldı ve merkezi olmayan sosyal medya platformunun çok sayıda güvenlik açığına sahip olduğunu buldu.
Mastodon, teknoloji girişimcisi Elon Musk’ın Twitter’ın kontrolünü ele geçirmesinden bu yana kullanıcılarda bir artış gördü. Çoğu kullanıcı Musk’ın politikalarından ve eski Başkan Donald Trump dahil tartışmalı figürleri platforma geri getirmesinden şikayetçi.
Mastodon’un ara yüzü Twitter’a benzer olsa da tek bir varlık veya şirket tarafından işletilmiyor. Bunun yerine, kendi kendine barındırılan sosyal ağ hizmetlerini çalıştıran ücretsiz ve açık kaynaklı bir platform olarak çalışıyor.
Uygulamada kullanıcıların kurabilecekleri ve katılabileceği “instances” olarak adlandırılan bireysel ancak birbirine bağlı sunucular bulunur. Kurallar bu farklı sunucularda değişiklik gösterebilir, ancak kullanıcıların endişesi gevşek güvenlik olmalı.
Merkezi Olmayan Platformlar Riskleri de Beraberinde Getiriyor
Araştırmacılar, kullanıcıların kimlik bilgilerini çalmak için kullanılabilecek bir HTML enjeksiyon açığı keşfetmişken, bir bilgisayar korsanının doğrudan mesajlar aracılığıyla gönderilen fotoğraflar da dahil olmak üzere bir sunucudaki tüm dosyaları indirmesine izin verebilen başka bir açık buldu.
Güvenlik araştırma firması Cybrary’nin Tehdit İstihbaratı Kıdemli Direktörü David Maynor, bir e-posta aracılığıyla “Mastodon, Twitter’dan kaçan pek çok kişinin düşündüğü gibi her derde deva değil.” uyarısında bulundu. Maynor birçok kritik hatanın güvenlik açığı tarayıcıları ile kolayca keşfedildiğini öne sürerek Twitter molası vermek isteyenleri uyardı.
Söz konusu olan sorun Mastodon’un tam anlamıyla nasıl tasarlandığında. Her bir instance, altyapı ve sunucularda çalışan yazılım üzerinde kontrol sahibi olan bir yönetici tarafından yönetiliyor.
Ancak, sunucuların çoğu küçük kuruluşlar veya büyük bütçeleri ya da güvenlik ekipleri olmayan bireysel operatörler tarafından işletildiğinden, kullanıcılar herhangi bir sunucunun güvenli veya özel olduğunu varsaymamalı. Tanium’da direktör ve uç nokta güvenliği araştırma uzmanı Melissa Bischoping, “İnsanlarla paylaşmaktan çekineceğiniz hassas, kişisel veya özel bilgileri göndermeyin. Güvenlik açıkları ve istismar potansiyeli göz önüne alındığında, benzersiz parolalar ve çok faktörlü kimlik doğrulamaları ile hesabınızı güvenceye alın.” uyarısında bulundu.