mastodon.social informiert über einen Sicherheitsvorfall

Die recht große Mastodon-Instanz mastodon.social informiert derzeit betroffene Nutzer über einen Sicherheitsvorfall. Man ist in der Annahme, dass das Problem zwischen dem 2. und 24. Februar 2023 bestand. Als man am 24. Februar über eine Fehlkonfiguration informiert wurde, habe man den Fehler binnen einer halben Stunde behoben. Kurzform: Bestellte Datenexporte (Archive takeouts) konnten von Dritten heruntergeladen wurden.

Die meisten Dateien im Objektsspeicher von Mastodon seien von Natur aus öffentlich (Emojis, Bilder sowie Videos öffentlicher Beiträge). Durch eine Fehlkonfiguration konnten Maßnahmen (generierte Dateinamen mit hoher Entropie, die sicherstellen, dass bestimmte Dateien nur unter Kenntnis des Links aufgerufen werden) umgangen werden. Unter den zugänglichen Dateitypen sei auch das Archive-Takeout mit Informationen zum Profil, den Favoriten, Lesezeichen sowie Beiträgen mitsamt Medienanhängen. Auch Beiträge, die nur für Follower gedacht und somit nicht öffentlich einsehbar waren, seien davon betroffen.

mastodon.social betont, dass zu keinem Zeitpunkt personenbezogene Daten oder auch die E-Mail-Adresse zugänglich waren, sondern nur Informationen aus dem öffentlichen Profil oder geteilten Beiträgen. Man sei zudem dran, Prozesse in der Mastodon-Software so anzupassen, dass für die Zugangskontrolle auf Archivmitnahmen kein Verlass auf High-Entropy-Links sein muss. Zudem wolle man über das Admin-Dashboard automatische Überprüfungen anzeigen, um Fehlkonfigurationen zu erkennen sowie zu kommunizieren.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Baujahr 1995. Technophiler Schwabe & Lehrer. Unterwegs vor allem im Bereich Smart Home und ständig auf der Suche nach neuen Gadgets & Technik-Trends aus Fernost. X; Threads; LinkedIn. Mail: felix@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

11 Kommentare

  1. Dezentral heißt nicht unbedingt sicher oder datensparsam man muss den Betreiber der Instanz vertrauen, das er sich auskennt und kümmert.

    Das wird gerne bei der Diskussion über die sozialen Netzwerke vergessen.

    • Insgesamt wird zwar bezüglich Vertrauen oft den großen wenig zugesprochen, da wollen viele von Google und iCloud zu kleinen Hostern wegmigrieren, dabei beachtet man aber nicht, dass es wohl der größte Erfolg eines jeden Hackers wäre, genau diese bloßstellen zu können. Entsprechend gut und schnell dürfte 0 Day Angriffe bei Meldung fürstlich entlohnt und direkt abgesichert werden. Bei den kleineren ist dies oftmals nicht der Fall…

      Nur weil etwas ggf nicht zu einer Marktmacht gehört, heißt dies weder, dass es sicherer oder datensparsamer ist.

  2. da erfahren sie es nicht.

  3. Die Möglichkeit in den Quellcode reinzuschauen hat nichts mit einer Fehlleistung eines Betreibers zu tun.
    Die Software kann noch so sicher sein, wenn der Admin die Konfiguration nicht ordentlich setzt, hast du ein Problem.
    Apple trägt auch nicht die Schuld daran das deine Daten verloren gehen wenn du dein iPhone ohne Sperre in der Öffentlichkeit herumliegen lässt.

  4. Bei Open Source geht es um den Eigentum am Quelltext. Es verbessert nicht automatisch die Sicherheit. Das wird wohl einfach gerne missverstanden.

  5. Das Mastodon stirbt auch gerade zum zweiten Mal aus!

    Nostr ist das heiße Ding, mit massig Zulauf in den letzten Wochen.

    • ach Gottchen… warum solche Flamewars und next big thing Dinger?

      Fediverse und das ActitivityPub Protokoll erleben richtig viel Support. Bei Mastodon geht es auf die. 10 Mio User zu, ich denke mal so 2 Mios sind wunderbar aktiv.

      Plattformen wie Medium, WordPress, Flipboard, Flickr, Tumblr, Mozilla und Co arbeiten an Implementierungen oder bieten diese bereits an.

      und dann kuendigt gar Meta auch noch ne Plattform auf dem Protokoll an.

      Also wenn das fuer dich Aussterben ist… ich weiss ja nicht

      • Meine Follower Anzahl auf Mastodon ist von rund 210 im Dezember auf jetzt 82 runter gegangen = mehr als halbiert. Alles ohne mein zutun, weil die Leute sich abgemeldet haben oder gesperrt/gelöscht wurden. Ich nenne das Absterben, aber ist ja auch kein Wunder:

        Nostr ist das nächste heiße Ding!

        Nur 1 Sekunde und man ist drin, auf

        https://iris.to

        einfach einen Namen eingeben und schon ist man drin. Der Aufbau des Datenstroms dauert ein paar Sekunden, denn die Daten werden ja von dezentral zusammengeführt

        Wichtig:
        Den Privaten Schlüssel sicher wegspeichern und den Public Key weitergeben. So wie es tausende von Twitter User derzeit schon machen (Einfach auf Twitter mal nach „npub“ suchen).

        Anschließend kann man sich mit dem Privaten Schlüssel von überall einloggen, wo es einem gefällt. App, Webseite, ect.

        Nostr inkl. dem eingebauten Bitcoin LN wird das neue Ding werden. Denn sobald Geld im Spiel ist, wirds zum Game-Changer.

        Qualitativ hochwertige Poster bekommen so ein paar Cents und wer das regelmäßig macht bekommt ein kleines Zubrot im Monat locker hin. Ich mach das erst seit 18 Tagen, habe aber schon ungerechnet 6.75 Euro bekommen. 15 Euro können es also werden im Monat (bei mir) und wenn der Bitcoin seine alten Höchststände wieder erreicht, verdreifach sich das Ganze noch mal.

        Viel Wichtiger:
        Plattformen wie Digistore24 oder OnlyFans werden viele Verkäufer verlieren durch Nostr, weil dort keine Provisionen anfallen.

        Nostr lässt auch Private Nachrichten zu – alle immer Verschlüsselt- damit werden auch die ganzen unterschiedlichen Messenger überflüssig.

        Leider haben Viele das irre Potential von Nostr noch nicht erkannt. Obwohl noch im frühen Stadium, läuft es schon verdammt gut.

        Facebook & Twitter können dagegen einpacken. Die Chinesen lieben Nostr schon, denn sie kommen damit erfolgreich an ihrer großen KP-Firewall vorbei.

        Hier noch meine Tipps um die Vielseitigkeit zu entdecken.

        https://nostr.band
        Suchmaschine – geht auch ohne angemeldet zu sein (sieht aber noch nicht schön aus)

        https://blogstack.io
        für den eigenen Nostr-Blog

        https://nostr-info.de
        auf deutsch

        https://nostr.how
        auf englisch

        https://nostrich.fun
        für die neusten Trends, Tools & Seiten

        https://www.nostr.net
        beste nostr Linkseite für Alles

        Über Tags wie NostrMarket kann man auch alles auf eine Kleinanzeigenseite bringen.

        Nostr wird das nächste große Ding.

        Alles ohne (US) Tech Konzerne. Alles ohne Verantwortlichen. Alles ohne eine Firma dahinter. Alles ohne Zensur und ohne krankmachende Algorithmen.

        Nostr ist „nur“ ein Protokoll, dass es aber in sich hat!

    • Mastodon lebt halt von eigener Aktivität der Nutzer und nicht von irgendwelchen Algorithmen – das hat sicherlich viele „Twitterflüchtlinge“ überfordert. Im Fediverse muss man eben
      (a) selber aktiv sein und womöglich auch noch
      (b) guten Content liefern, um
      (c) organisches Wachstum zu erzeugen.

      Abgesehen davon sollte man immer im Hinterkopf behalten, dass alle Social Media Plattformen ihre eigenen Gesetzmäßigkeiten haben und die absoluten Zahlen (Follower, Likes, …) nicht direkt 1:1 miteinander vergleichbar sind.

  6. das hilft leider auch kaum. shellshock (bash) un heartbleed (openssl) sind auch lange Zeit nicht aufgefallen und diese Produkte sind keine Nischendinge.

  7. Wer hat Open Source als DAS Heilmittel für die Sicherheit dargestellt? Oder anders gefragt – warum sollte dieser Vorfall einer Fehlkonfiguration Beleg dafür sein, dass Closed Source Software sicherer ist?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.