Social

Sicherheitsvorfall auf mastodon.social

Autor-Bild
Von
|
Mastodon

Eugen Rochko, der Geschäftsführer der Mastodon gGmbH, informiert aktuell die User der Mastodon-Instanz mastodon.social über einen Sicherheitsvorfall.

Was war passiert? Am frühen Morgen des 24. Februar 2023 wurde man indirekt auf eine Fehlkonfiguration in der Objektspeicher-Domäne (files.mastodon.social) aufmerksam gemacht, die es jedem erlaubte, die Liste aller hochgeladenen Dateien zu sehen. Innerhalb von 30 Minuten wurde dieser Fehler korrigiert.

Man hat jedoch Grund zu der Annahme, dass das Problem bereits seit dem 2. Februar 2023 bestand, als man mit der Aufrüstung der Infrastruktur begonnen hat.

Normalerweise verlässt sich Mastodon auf lange, zufällig generierte Dateinamen mit hoher Entropie, um sicherzustellen, dass auf bestimmte Dateien nur diejenigen zugreifen können, die den Link kennen. Durch diese Fehlkonfiguration konnte diese Maßnahme jedoch umgangen werden.

Datenexport der User betroffen

Die meisten Dateien im Objektspeicher sind von Natur aus öffentlich, denn es sind Profilbilder, benutzerdefinierte Emojis, Bilder und Videos, die an öffentliche Beiträge angehängt sind. Es gibt jedoch einen Dateityp, auf den außer dem Eigentümer niemand Zugriff haben sollte, nämlich die Archiventnahme des Benutzers.

Doch auch die Archivmitnahme (aka Takeout) befand sich in diesem System, als der Vorfall geschah. Man habe nach eigenen Angaben sofort alle Archivauszüge gelöscht, um zu verhindern, dass jemand sie herunterlädt, aber man habe Grund zu der Annahme, dass zumindest einige von ihnen von Unbefugten heruntergeladen wurden.

Die Archivexporte enthalten die folgenden Informationen:

  • öffentliches Profil
  • Favoriten
  • Lesezeichen
  • Beiträge und Medienanhänge (einschließlich Beiträge, die nur für Follower bestimmt sind, und solche, die nur erwähnt werden)

Die E-Mail-Adresse oder andere personenbezogene Daten des Kontos, mit Ausnahme von Informationen, sind nicht enthalten (außer die, die sowieso im Profil öffentlich sind). Weiter heißt es:

Es sind keine Maßnahmen Ihrerseits erforderlich. Wir entschuldigen uns aufrichtig für diesen Fehler. Wir sind dabei, die Mastodon-Software so zu ändern, dass sie sich nicht mehr auf High-Entropy-Links für die Zugriffskontrolle auf Archivmitnahmen verlässt, und wir fügen eine automatische Überprüfung in das Admin-Dashboard ein, um ähnliche Fehlkonfigurationen zu erkennen und andere Serverbetreiber darüber zu informieren.

Nochmal klar gesagt: nach aktuellem Stand betrifft dieser Vorfall ausschließlich die (ziemlich große) Instanz mastodon.social.

Folge mobiFlip bei Mastodon →


Fehler meldenKommentare

   

Deine E-Mail bleibt vertraulich. Durch Kommentieren stimmst du der Datenschutzerklärung zu.

Du bist hier:
mobiFlip.de / News / Social / ...
Weitere Neuigkeiten
Blizzard Warcraft Header
Blizzard arbeitet wohl an einem ganz neuen Spiel in Gaming
Waipu Tv
waipu.tv startet Teletext in Unterhaltung
Whatsapp Logo Icon 2021 Header
WhatsApp führt Passkeys unter iOS ein in Software
Otelo
OTELO erhöht das Datenvolumen und macht 5G kostenfrei in Tarife
Samsung S95d 2024 Oled Tv
Samsung OLED TV 2024: Preise und Verkaufsstart in Deutschland in Unterhaltung
Threads
Threads auf dem Vormarsch: Über 150 Millionen Nutzer in Social
Apple Watch Series 9 Header
Apple Watch: Neue Generation könnte dünner sein in Wearables
Dkb
DKB: Neue Länder in den Karteneinstellungen in News
Android Auto Google 2024 Header
Android Auto: Google schraubt am App-Design in Mobilität
Skoda Vision Gran Turismo Header
Skoda zeigt wildes Konzept für Elektro-Sportwagen in Mobilität