Expertos en seguridad exponen fallas en Mastodon

Expertos en seguridad exponen fallas en Mastodon

La creciente popularidad de Mastodon, en parte un efecto secundario de la compra de Twitter por parte de Elon Musk, provocó una serie de descubrimientos de vulnerabilidades en la aplicación.

Los investigadores de seguridad cibernética que utilizan la plataforma descubrieron recientemente tres vulnerabilidades separadas que podrían permitir que los actores de amenazas manipulen los datos o incluso los carguen.

Por ejemplo, el investigador de PortSwigger, Gareth Heyes, descubrió una vulnerabilidad de inyección de HTML. Un ingeniero de software de seguridad de MinIO, Lenin Alevski, descubrió una configuración incorrecta del sistema que le permitía cargar, modificar e incluso eliminar cualquier cosa en el depósito de almacenamiento en la nube S3 de una instancia de Mastodon, y Anurag Sen encontró un servidor anónimo extrayendo datos de usuario de Mastodon.

Miles de nuevos usuarios

Cada vez que hay un cambio tectónico en una plataforma de redes sociales, algunos usuarios deciden que es mejor mudarse a otro lugar.

La reciente adquisición de Twitter por parte de Elon Musk no es diferente, con algunos informes que afirman que Mastodon tenía hasta 30 000 nuevos usuarios todos los días en los días previos a la adquisición (frente a 2000 por día). El 7 de noviembre, Mastodon dio la bienvenida a 135.000 personas nuevas.

La creciente popularidad también significa un mayor escrutinio, lo que no es necesariamente algo malo. Mastodon siempre ha sido visto como una buena alternativa a Twitter, y descubrir y corregir varias vulnerabilidades solo puede convertirlo en un competidor más fuerte.

A diferencia de Bluebird, Mastodon es una plataforma social descentralizada que comprende una serie de servidores que pueden comunicarse entre sí pero que esencialmente operan por separado, con reglas y configuraciones separadas. Estos servidores y comunidades se denominan instancias.

En declaraciones a la publicación, Melissa Bischoping, directora y especialista en investigación en seguridad de puntos finales (se abre en una nueva pestaña) en Tanium, advirtió a los usuarios que no compartan datos confidenciales (se abre en una nueva pestaña) a través de la plataforma.

"No use Mastodon para enviar información confidencial, personal o privada que de todos modos no se sentiría cómodo publicando", dijo.

Vía: Dark Reading (se abre en una nueva pestaña)