Discord, maliyetli Mastodon spam saldırılarını koordine eden sunucuya karşı herhangi bir işlem yapmadı

Hafta sonu boyunca bilgisayar korsanları, Discord’da düzenlenen ve Discord uygulamaları kullanılarak gerçekleştirilen devam eden spam saldırılarını gerçekleştirmek için Mastodon gibi federal sosyal ağları hedef aldı. Ancak Discord, saldırıların kolaylaştırıldığı sunucuyu henüz kaldırmadı ve Mastodon topluluk liderleri de şirketten kimseye ulaşamadı.

ActivityPub protokolü üzerine kurulu merkezi olmayan sosyal platformlardan oluşan bir ağ olan federal evrende güven ve güvenlik sorunları üzerinde düzenli olarak çalışan yazılım mühendisi Emelia Smith, “Saldırılar Discord aracılığıyla koordine edildi ve yazılım Discord aracılığıyla dağıtıldı” dedi. “Doğrudan Discord ile entegre olan botlar kullanıyorlardı, böylece kullanıcının herhangi bir sunucu veya buna benzer bir şey kurmasına bile gerek kalmıyordu, çünkü saldırıyı gerçekleştirmek için bu botu doğrudan Discord’dan çalıştırabiliyorlardı.”

Smith, 17 Şubat’ta resmi kanallar aracılığıyla Discord’la iletişime geçmeye çalıştı ancak hâlâ yalnızca form yanıtları aldı. TechCrunch’a, Discord’un bireysel kullanıcıları veya mesajları raporlamak için mekanizmaları olmasına rağmen, tüm sunucuları raporlamak için net bir yöntemden yoksun olduğunu söyledi.

Smith, TechCrunch tarafından görüntülenen bir e-postada Discord Trust & Safety’ye şunları yazdı: “Mastodon, Misskey ve diğerlerinin sunucu yöneticilerinin altyapı maliyetlerine ve genel olarak hizmet reddine yüzlerce veya binlerce dolara mal olduğunu gördük.” “Tek ortak bağlantı bu discord sunucusu gibi görünüyor.”

TechCrunch’a yaptığı açıklamada bir Discord sözcüsü şunları söyledi: “Discord’un Hizmet Şartları, spam veya istenmeyen toplu mesajlar veya etkileşimler göndermek de dahil olmak üzere Discord kullanıcılarının deneyimini bozan veya değiştiren faaliyetler anlamına gelen platformun kötüye kullanılmasını özellikle yasaklıyor.” Discord durumu izlediğini söylese de spam saldırılarından sorumlu sunucu hâlâ çevrimiçi durumda.

Mastodon’un kurucusu ve CEO’su Eugene Rochko, bir gönderisinde bu saldırıların denetlenmesinin geçmiştekilere göre daha zor olduğunu, çünkü kasıtlı olarak daha az denetim aracına sahip olan daha küçük sunucuları hedef aldıklarını söyledi. Bu sunuculardan bazıları açık kayıt sunarak hızlı bir şekilde yeni hesap başlatmayı ve spam göndermeyi mümkün kılar. Smith’in belirttiği gibi, bu toplu spam saldırıları sunucu maliyetlerini artırabilir ve yöneticilerin beklenmedik faturalarla karşı karşıya kalmasına neden olabilir.

Mastodon’da yer alan haberlere göre bu tam otomatik saldırı, iki farklı Japonca Discord sunucusunda gençler arasında yaşanan bir çatışmadan kaynaklandı.

Smith, TechCrunch’a şunları söyledi: “Bu çocukların esasen okul bahçesindeki zorbalar gibi davrandıkları tuhaf bir sosyal davranış.” Saldırıyı, bu sosyal ağlara karşı herhangi bir kötü niyetleri olduğu için değil, sadece yapabileceklerini göstermek için gerçekleştirdiklerini düşünüyor.

“Duygusal ve psikolojik olarak bulundukları durumun çok üzerinde teknolojik yeteneklere sahipler” dedi.

Siber güvenlik uzmanı Kevin Beaumont, Mastodon’da bu olayın 2016’da üç üniversite çocuğunun Minecraft’tan para kazanmak için bir botnet oluşturduğu benzer ama çok daha büyük bir saldırıyı hatırlattığını belirtti. Ancak yaptıkları şey o kadar güçlüydü ki, Reddit ve Spotify gibi siteler de dahil olmak üzere internetin büyük bir bölümünü çökertebildi.

“Bu konuyla ilgili NPR’de bir radyo programı yapmam gerekiyordu ve sunucu bana sürekli onun Putin olup olmadığını sorup duruyordu; ben de hayır, gençler diyordum. İleri Düzeyde Kalıcı Gençler,” diye yazdı Beaumont.

Merkezi olmayan bir sosyal medya ağı olarak Mastodon’un ekibi, sahip olmadıkları sunuculardaki denetim sorunlarına müdahale edemiyor, bu da federal evren için bir güvenlik açığıdır. Aktif olarak bakımı yapılan ve denetlenen sunucularda Mastodon, CAPTCHA’lar gibi otomatik hesap kaydını önleyen araçlar sunar.

Mastodon’un kar amacı gütmeyen açık kaynak modeli, kullanıcılara sosyal medya deneyimleri üzerinde daha fazla sahiplik sağlarken, aynı zamanda şirketin daha fazla geliştiriciyi işe alma olanağını da sınırlıyor. Sosyal ağın çoğu, Smith’in kendisi gibi gönüllüler tarafından yönetiliyor.

“Tüm federal evrenin belki de en iyi ihtimalle 100 mühendisin sırtından geliştirildiğini tahmin ediyorum” dedi. “Hepsi düşük ücretli, az ücretli veya ücretsiz yazılım geliştirmeye çalışan ve aynı zamanda 1,1 milyon ila 7,4 milyon aralığındaki aylık aktif kullanıcı tabanını destekliyor.”