Una serie di difetti nella sicurezza del software Mastodon sono stati scoperti a seguito della crescente popolarità del programma, che può essere parzialmente attribuita all’acquisizione di Twitter da parte di Elon Musk. I ricercatori che lavorano nel campo della sicurezza informatica e utilizzano la piattaforma hanno scoperto tre distinte vulnerabilità che, se sfruttate, possono consentire a malintenzionati di manipolare i dati e persino di scaricarli.
Ad esempio, Gareth Heyes, un ricercatore di PortSwigger, ha scoperto un difetto sotto forma di una vulnerabilità HTML injection. Lenin Alevski, un ingegnere del software di sicurezza presso MinIO, ha scoperto una configurazione errata del sistema che gli ha dato la possibilità di scaricare, modificare e persino eliminare tutto ciò che era archiviato nel bucket di archiviazione cloud S3 di un’istanza Mastodon. Anurag Sen ha scoperto un server anonimo che stava raschiando i dati degli utenti di Mastodon.
Una crescita della propria popolarità è accompagnata da un aumento del proprio controllo, che non è sempre una cosa negativa. L’identificazione e la correzione di diversi punti deboli in Mastodon dovrebbero servire solo a rafforzarlo come valida alternativa a Twitter, che tradizionalmente è stata vista come un’opzione decente.
Melissa Bischoping, direttrice ed esperta di ricerca sulla sicurezza degli endpoint presso Tanium, ha riferito :”Non utilizzare Mastodon per comunicare materiale che possa essere considerato sensibile, personale o privato, soprattutto se non ti senti a tuo agio nel pubblicarlo comunque pubblicamente”.