Posts Recentes:

Google Chrome muda a forma de acessar Favoritos, Lista de Leitura e Histórico

Surfando na onda da personalização, o Google Chrome...

IA da Samsung chegará ao Galaxy S21 e outros modelos em breve

Depois de lançar seus novos recursos de inteligência...

Gmail prepara ‘Assinaturas’ para dar fim à bagunça na caixa de entrada

Cansado de ter a caixa de entrada do...

Ataque de spam no rival Mastodon do Twitter/X destaca vulnerabilidades do 'Fediverse'


Um ataque de spam que impactou o rival de código aberto X Mastodon, Misskey e outros aplicativos destaca como a web social descentralizada, também conhecida como Fediverse, está aberta a abusos. Nos últimos dias, os invasores têm como alvo servidores Mastodon menores, aproveitando os registros abertos para automatizar a criação de contas de spam. O fundador e CEO do Mastodon, Eugen Rochko, confirmou o ataque em uma postagem no fim de semana, acrescentando que os administradores do servidor Mastodon deveriam mudar o registro para o modo de aprovação e bloquear provedores de e-mail de descarte para ajudar a combater o problema.

Embora este não seja o primeiro ataque de spam que impactou o Fediverse, Rochko observa que apenas servidores maiores como o Mastodon.social foram alvos anteriormente. Como esse servidor é administrado pela própria equipe do Mastodon, eles próprios conseguiram mitigar esses ataques. A diferença desta vez é que os spammers visaram servidores menores e até abandonados que oferecem registro aberto, permitindo que os malfeitores criassem contas rapidamente e gerassem spam.

rochko on spam attack

Créditos da imagem: Eugen Rochko em Mastodonte

Este ataque específico, que foi totalmente automatizado quando os invasores descobriram que poderiam criar scripts de spam, foi causado por uma disputa entre dois lados no Discord, onde um lado estava tentando banir o servidor Discord do outro lado, de acordo com relatórios do Mastodon. (Mais detalhes sobre isso aqui.) Muitos dos outros alvos dos spammers não eram apenas o Mastodon – eles também tinham como alvo o Misskey. (Misskey é uma plataforma de blog descentralizada e de código aberto que usa o protocolo ActivityPub, como Mastodon, Pixelfed, PeerTube e outros, permitindo que seus usuários interajam com aqueles em outras plataformas sociais federadas.) Como as origens do spam parecem ser um fórum japonês, muitos dos alvos também estavam no Japão.

O ataque de spam destacou uma das fraquezas da forma como o Fediverse está estruturado. Mastodon é um software de código aberto que qualquer pessoa pode instalar em seu próprio servidor, essencialmente estabelecendo sua própria instância, ou nó, que se conecta a outros servidores federados de redes sociais, alimentados pelo protocolo ActivityPub.

Como os servidores menores do Mastodon são frequentemente projetos amadores executados por entusiastas, eles eram vulneráveis ​​a esse tipo de ataque. Se os administradores dos servidores não prestassem atenção aos seus servidores diariamente e oferecessem registros abertos, provavelmente seriam vítimas do spam.

Ou como observou um administrador de servidor, @Chris@mastodon.cosmicnation.co: “Alguns administradores de instância foram lembrados de que tinham uma instância. E também aprendemos que há MUITAS instâncias abandonadas por aí com as portas abertas para registro sem aprovação.”

Nos últimos dias, os administradores de servidores trabalharam juntos para criar listas contínuas de instâncias abandonadas que outros administradores poderiam usar como base para uma lista de bloqueio para proteger seus próprios usuários contra ataques de spam. Muitos servidores foram simplesmente desligados porque seus administradores decidiram que seria mais fácil esperar o ataque ou abandonar completamente o Mastodon.

O popular aplicativo Mastodon de terceiros, Ivory, da Tapbots, lançou uma atualização de emergência que incluía um filtro personalizado chamado “Spam potencial”, em sua guia Filtro, que permitiria aos usuários silenciar menções de spam. Os usuários afetados poderiam ativar esse filtro para capturar a maior parte do spam, mas não conseguiram impedir as notificações push de spam, disse a empresa.

O ataque parece estar diminuindo a partir desta manhã. O tecnólogo e pesquisador Tim Chambers (@tchambers@indieweb.social) observou que hoje foi o primeiro dia em quatro dias que ele teve menos de 40 contas de spam para suspender no servidor que administra, por exemplo. Mastodon disse ao TechCrunch que em servidores ativos com uma equipe de moderação reativa, o Mastodon possui várias ferramentas para impedir o registro automatizado de contas, incluindo modo de aprovação, CAPTCHAs e várias ferramentas de bloqueio, para que o invasor seja tratado muito rapidamente. Ele também observou que o ataque de spam estava diminuindo à medida que os dois grupos de hackers aparentemente fizeram as pazes.

Enquanto alguns consideraram a experiência positiva para a rede social e para o Fediverse em geral, uma vez que revelou uma fraqueza que agora poderia ser discutida e abordada, outros ficaram irritados com a experiência e com a falta de resposta de Rochko nas primeiras horas do ataque.

“Isso está arruinando minha experiência com o Mastodon. Isso me faz querer ir embora e desistir”, escreveu um administrador do servidor Mastodon sam@urbanists.social. “E o silêncio contínuo de Eugen sobre o problema não ajuda nisso”, disseram eles.

O CTO da Mastodon, Renaud Chaput, disse que o ataque levará a empresa a melhorar seu software.

“No momento, não existem boas ferramentas integradas para lidar com isso, pois se trata de um problema complexo – redes federadas não são fáceis! — mas temos muitas ideias sobre como melhorar nossos recursos de combate a spam e abuso”, disse ele. “Isso será trabalhado nos próximos meses. Estamos sempre trabalhando para melhorar o software (a última versão introduziu suporte opcional a captcha). Outra medida que tomamos hoje foi mudar a configuração de novas instâncias para que não fiquem totalmente abertas por padrão e adicionar um banner para lembrar aos administradores que as instâncias totalmente abertas precisam ser moderadas ativamente, portanto, isso precisa ser uma decisão cuidadosa por parte do administrador ”, acrescentou Chaput.

Desde a chegada do Instagram Threads, outro concorrente do Twitter/X que também planeja federar usando o ActivityPub, o uso do Mastodon tem diminuído.

Em outubro do ano passado, o Mastodon cresceu para incluir cerca de 1,8 milhão de usuários ativos mensais. Quando o Threads foi lançado publicamente, havia caído para 1,5 milhão. A partir do lançamento público deste mês do Bluesky, outra rede social descentralizada baseada em um protocolo diferente (o que significa que não faz parte do mesmo Fediverse, pelo menos até que uma ponte seja construída), o uso do Mastodon caiu para 1 milhão de usuários ativos mensais.

É aí que o uso do Mastodon permanece até hoje, de acordo com a página inicial da empresa. O Fediverse mais amplo, que inclui o Mastodon e outros aplicativos, tem cerca de 2,9 milhões de usuários ativos mensais. A entrada de Threads neste espaço irá ofuscar outros servidores Mastodon e poderia emprestar o conhecimento técnico do Meta em áreas como prevenção de spam, mas muitos estão preocupados que o objetivo final do Meta seja essencialmente assumir o controle do Fediverse, tornando-se o cliente padrão que os usuários escolhem e usando seu recursos significativos para dimensionar a adoção do aplicativo Meta.

Atualizado em 20/02/24, 13h31 et para adicionar comentário do CTO do Mastodon

Últimas

Google Chrome muda a forma de acessar Favoritos, Lista de Leitura e Histórico

Surfando na onda da personalização, o Google Chrome...

IA da Samsung chegará ao Galaxy S21 e outros modelos em breve

Depois de lançar seus novos recursos de inteligência...

Gmail prepara ‘Assinaturas’ para dar fim à bagunça na caixa de entrada

Cansado de ter a caixa de entrada do...

Atualização da Busca não afeta os sistemas de indexação

Em meio a tantas dúvidas e questionamentos sobre...

Assine

spot_img

Veja Também

Google Chrome muda a forma de acessar Favoritos, Lista de Leitura e Histórico

Surfando na onda da personalização, o Google Chrome...

IA da Samsung chegará ao Galaxy S21 e outros modelos em breve

Depois de lançar seus novos recursos de inteligência...

Gmail prepara ‘Assinaturas’ para dar fim à bagunça na caixa de entrada

Cansado de ter a caixa de entrada do...

Atualização da Busca não afeta os sistemas de indexação

Em meio a tantas dúvidas e questionamentos sobre...

Google One anuncia o fim do serviço de VPN

A VPN do Google One, serviço de rede...
spot_img

Google Chrome muda a forma de acessar Favoritos, Lista de Leitura e Histórico

Surfando na onda da personalização, o Google Chrome está mudando a forma como acessamos funções como Favoritos, Lista de Leitura e Histórico....

IA da Samsung chegará ao Galaxy S21 e outros modelos em breve

Depois de lançar seus novos recursos de inteligência artificial, o Galaxy AI, a Samsung finalmente atendeu aos pedidos dos fãs e confirmou que...

Gmail prepara ‘Assinaturas’ para dar fim à bagunça na caixa de entrada

Cansado de ter a caixa de entrada do Gmail abarrotada por e-mails de assinaturas que você nem sequer lê? Se sim, prepare-se para...