“去中心化版Twitter”Mastodon曝出嚴重漏洞

本周三晚間，安全研究員Lenin Alevski警告說社交媒體平臺Mastodon的多個實例容易受到系統配置問題的影響。

過去一個月，大量Twitter用戶因特斯拉創始人埃隆·馬斯克接管Twitter所帶來的劇變而紛紛“叛逃”到“去中心化版Twitter”——Mastodon。

然而，Alevski和Gareth Heyes等安全研究人員發現Mastodon安全成熟度很差。

例如，Alevski發現Mastodon的一個實例——infosec.exchange被上傳到未能應用訪問控制的存儲桶。

Alevski在一篇技術博客文章（鏈接在文末）透露該漏洞使攻擊者有可能訪問用戶的個人資料圖片或任何其他上傳的數據，并將其替換為任意內容。

該漏洞還意味著攻擊者可以從服務器下載文件——包括通過直接消息（DM）共享的文件（Mastodon上的DM與Twitter不同，省略了加密）。攻擊者還有可能實施包括刪除服務器文件的破壞性攻擊。總之，這個安全漏洞為各種惡作劇和惡意行為敞開了大門。

Alevski向管理Mastodon的infosec.exchange實例的系統管理員Jerry Bell報告了該漏洞后立即得到響應。

Bell表示：“該漏洞是存儲桶訪問策略配置錯誤，我沒有從默認訪問路徑中刪除寫訪問權限。”

在問題解決后發布的博客文章中，Alevski補充說：“對象存儲級別的系統配置錯誤會破壞Mastodon的所有安全機制”。

Alevski最后警告說：infosec.exchange絕不是Mastodon生態系統中系統配置漏洞的個案。安全研究人員仍在不斷發現其他Mastodon實例上的配置錯誤。

“我在其中幾個（其他實例）中發現了類似的問題，并且已經報告了這些漏洞。”Alevski說道。