Açık kaynak X’in rakibi Mastodon, Misskey ve diğer uygulamaları etkileyen bir spam saldırısı, Fediverse olarak da bilinen merkezi olmayan sosyal ağın ne kadar kötüye kullanıma açık olduğunu ortaya koyuyor. Geçtiğimiz birkaç gün boyunca saldırganlar, spam hesaplarının oluşturulmasını otomatikleştirmek için açık kayıtlardan yararlanarak daha küçük Mastodon sunucularını hedef aldı. Mastodon’un kurucusu ve CEO’su Eugen Rochko, hafta sonu yaptığı bir gönderide saldırıyı doğruladı ve Mastodon sunucu yöneticilerinin sorunla mücadeleye yardımcı olmak için kaydı onay moduna geçirmesi ve imha e-posta sağlayıcılarını engellemesi gerektiğini ekledi.
Bu, Fediverse’i etkileyen ilk spam saldırısı olmasa da Rochko, daha önce yalnızca Mastodon.social gibi daha büyük sunucuların hedef alındığını belirtiyor. Bu sunucu Mastodon’un kendi ekibi tarafından çalıştırıldığından, bu saldırıları kendileri hafifletebildiler. Bu kez farklı olan şey, spam gönderenlerin, açık kayıt olanağı sunan daha küçük ve hatta terk edilmiş sunucuları hedef alması ve böylece kötü aktörlerin hızlı bir şekilde hesap oluşturmasına ve spam oluşturmasına olanak sağlamasıdır.
Mastodon’daki raporlara göre, saldırganlar spam komut dosyası yazabileceklerini öğrendiklerinde tamamen otomatik olarak gerçekleştirilen bu saldırı, bir tarafın diğer tarafın Discord sunucusunu yasaklamaya çalıştığı Discord’daki gruplar arasındaki bir anlaşmazlıktan kaynaklandı. Spam gönderenlerin çoğunun diğer hedefleri yalnızca Mastodon değildi; aynı zamanda Misskey’i de hedefliyorlardı. (Misskey, Mastodon, Pixelfed, PeerTube ve diğerleri gibi ActivityPub protokolünü kullanan, kullanıcılarının diğer federal sosyal platformlardaki kişilerle etkileşime girmesine olanak tanıyan açık kaynaklı, merkezi olmayan bir blog platformudur.)
Spam saldırısı, Fediverse’ün yapısından kaynaklanan zayıflıklardan birinin altını çizdi. Mastodon, herkesin kendi sunucusuna yükleyebileceği, esas olarak kendi örneğini veya düğümünü kurarak diğer federe sosyal ağ sunucularına bağlanan ve ActivityPub protokolü tarafından desteklenen açık kaynaklı bir yazılımdır.
Mastodon’un küçük sunucuları genellikle meraklılar tarafından yürütülen hobi amaçlı projeler olduğundan, bu tür saldırılara karşı savunmasızdılar. Sunucu yöneticileri sunucularına günlük olarak dikkat etmiyorsa ve açık kayıt teklif ediyorsa, muhtemelen spam kurbanı olmuşlardır.
Veya bir sunucu yöneticisi @Chris@mastodon.cosmicnation.co’nun belirttiği gibi, “Bazı örnek yöneticilerine bir bulut sunucularının olduğu hatırlatıldı. Ayrıca onay olmadan kayıt için kapıları ardına kadar açık olan BİRÇOK terkedilmiş örneğin bulunduğunu da öğrendik.”
Geçtiğimiz birkaç gün boyunca sunucu yöneticileri, diğer yöneticilerin kendi kullanıcılarını spam saldırılarından korumak amacıyla bir engellenenler listesi için temel olarak kullanabileceği, terkedilmiş örneklerin sürekli listelerini oluşturmak için birlikte çalıştı. Yöneticileri saldırıyı beklemenin veya Mastodon’u tamamen terk etmenin en kolay yol olacağına karar verdiği için birçok sunucu kapatıldı.
Tapbots’un popüler üçüncü taraf Mastodon uygulaması Ivory, Filtre sekmesinde kullanıcıların spam’den bahsedenleri sessize almasına olanak tanıyan “Potansiyel Spam” adlı özel bir filtre içeren bir acil durum güncellemesi yayınladı. Şirket, etkilenen kullanıcıların spam’in çoğunu yakalamak için bu filtreyi açabildiğini ancak spam anlık bildirimlerini durduramadıklarını söyledi.
Saldırının bu sabah itibariyle sona erdiği görülüyor. Teknoloji uzmanı ve araştırmacı Tim Chambers (@tchambers@indieweb.social), örneğin yönettiği sunucuda dört gün içinde 40’tan az spam hesabının askıya alındığı ilk gün olduğunu belirtti.
Bazıları bu deneyimi sosyal ağ ve daha geniş Fediverse için olumlu olarak görürken, artık tartışılabilecek ve ele alınabilecek bir zayıflığı ortaya çıkardı, diğerleri ise deneyime ve Rochko’nun saldırının ilk saatlerinde yanıt vermemesine kızdı.
“Bu benim için Mastodon deneyimimi mahvediyor. Bir Mastodon sunucu yöneticisi sam@urbanists.social şöyle yazmıştı: “Bende çekip gitmek ve pes etmek istememe neden oluyor.” “Ve Eugen’in soruna ilişkin devam eden sessizliği buna yardımcı olmuyor” dediler.
Mastodon’dan yorum istendi ancak yorum hemen yapılmadı.
ActivityPub’ı kullanarak birleşmeyi planlayan başka bir Twitter/X rakibi olan Instagram Threads’in gelişinden bu yana Mastodon kullanımı düşüş eğiliminde.
Geçen yılın ekim ayında Mastodon yaklaşık 1,8 milyon aylık aktif kullanıcıyı kapsayacak şekilde büyümüştü. Threads halka açıldığında sayı 1,5 milyona düşmüştü. Farklı bir protokole dayanan (bu, en azından bir köprü inşa edilene kadar aynı Fediverse’in parçası olmadığı anlamına gelir) başka bir merkezi olmayan sosyal ağ olan Bluesky’nin bu ay halka sunulmasıyla birlikte Mastodon kullanımı aylık 1 milyon aktif kullanıcıya düşmüştü. Şirketin ana sayfasına göre Mastodon kullanımının bugün de devam ettiği yer burası. Mastodon ve diğer uygulamaları içeren daha geniş Fediverse’nin aylık yaklaşık 2,9 milyon aktif kullanıcısı var. Threads’in bu alana girişi, diğer Mastodon sunucularını gölgede bırakacak ve Meta’nın spam önleme gibi alanlardaki teknik uzmanlığını ödünç verebilir, ancak çoğu kişi Meta’nın nihai hedefinin, kullanıcıların seçtiği varsayılan istemci haline gelerek Fediverse’i devralmak olacağından endişe ediyor. Meta uygulamasının benimsenmesini ölçeklendirmek için önemli kaynaklar.
Kaynak: https://techcrunch.com/2024/02/20/spam-attack-on-twitter-x-rival-mastodon-highlights-fediverse-vulnerabilities/