La popularité croissante de Mastodon, en partie un effet secondaire de l’achat de Twitter par Elon Musk, a déclenché une vague de découvertes de vulnérabilités dans l’application.
Les chercheurs en cybersécurité utilisant la plate-forme ont récemment découvert trois vulnérabilités distinctes qui pourraient permettre aux acteurs de la menace de falsifier les données, voire de les télécharger.
Par exemple, un chercheur de PortSwigger, Gareth Heyes, a découvert une vulnérabilité d’injection HTML. Un ingénieur en logiciel de sécurité de MinIO, Lenin Alevski, a découvert une mauvaise configuration du système qui lui permettait de télécharger, de modifier et même de supprimer tout ce qui se trouvait dans le bucket de stockage cloud S3 d’une instance de Mastodon, et Anurag Sen a trouvé un serveur anonyme grattant les données des utilisateurs de Mastodon.
Des milliers de nouveaux utilisateurs
Chaque fois qu’il y a un mouvement tectonique sur une plate-forme de médias sociaux, certains utilisateurs décident qu’il vaut mieux simplement déménager ailleurs.
La récente acquisition d’Elon Musk sur Twitter n’est pas différente, certains rapports affirmant que Mastodon a eu jusqu’à 30 000 nouveaux utilisateurs chaque jour, dans les jours précédant l’acquisition (contre 2 000 par jour). Le 7 novembre, Mastodon a accueilli 135 000 nouvelles personnes.
Une popularité croissante signifie également une surveillance accrue, ce qui n’est pas nécessairement une mauvaise chose. Mastodon a toujours été perçu comme une bonne alternative à Twitter, et découvrir et remédier à diverses vulnérabilités ne peut qu’en faire un concurrent plus fort.
Contrairement à l’oiseau bleu, Mastodon est une plate-forme sociale décentralisée, comprenant une série de serveurs pouvant communiquer entre eux mais fonctionnant essentiellement séparément, avec des règles et des configurations distinctes. Ces serveurs et communautés sont appelés instances.
S’adressant à la publication, Melissa Bischoping, directrice et sécurité des terminaux (s’ouvre dans un nouvel onglet) spécialiste de la recherche chez Tanium, a mis en garde les utilisateurs contre le partage de données sensibles (s’ouvre dans un nouvel onglet) via la plateforme.
« N’utilisez pas Mastodon pour envoyer des informations sensibles, personnelles ou privées que vous ne seriez pas à l’aise de publier de toute façon », a-t-elle déclaré.
Via : Lecture sombre (s’ouvre dans un nouvel onglet)