“去中心化版Twitter”Mastodon曝出严重漏洞

本周三晚间，安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。

过去一个月，大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。

然而，Alevski和Gareth Heyes等安全研究人员发现Mastodon安全成熟度很差。

例如，Alevski发现Mastodon的一个实例——infosec.exchange被上传到未能应用访问控制的存储桶。

Alevski在一篇技术博客文章（链接在文末）透露该漏洞使攻击者有可能访问用户的个人资料图片或任何其他上传的数据，并将其替换为任意内容。

该漏洞还意味着攻击者可以从服务器下载文件——包括通过直接消息（DM）共享的文件（Mastodon上的DM与Twitter不同，省略了加密）。攻击者还有可能实施包括删除服务器文件的破坏性攻击。总之，这个安全漏洞为各种恶作剧和恶意行为敞开了大门。

Alevski向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告了该漏洞后立即得到响应。

Bell表示：“该漏洞是存储桶访问策略配置错误，我没有从默认访问路径中删除写访问权限。”

在问题解决后发布的博客文章中，Alevski补充说：“对象存储级别的系统配置错误会破坏Mastodon的所有安全机制”。

Alevski最后警告说：infosec.exchange绝不是Mastodon生态系统中系统配置漏洞的个案。安全研究人员仍在不断发现其他Mastodon实例上的配置错误。

“我在其中几个（其他实例）中发现了类似的问题，并且已经报告了这些漏洞。”Alevski说道。