Da alcuni giorni è in corso un attacco spam contro Mastodon. La conferma arriva direttamente dal fondatore e CEO Eugen Rochko. Non si tratta di un novità, ma stavolta sono stati presi di mira i server più piccoli. Gli amministratori dovrebbero attivare l’approvazione della registrazione.
Attacco al fediverso
Mastodon non è in realtà l’unico social network del fediverso scelto come bersaglio dagli spammer. L’attacco è stato effettuato anche contro Misskey, una piattaforma di blogging decentralizzata che usa il protocollo ActivityPub, come Mastodon. Sono stati utilizzati script che automatizzano la creazione degli account.
Eugen Rochko consiglia agli amministratori dei server di disattivare la registrazione aperta e di implementare l’approvazione preventiva. Ciò dovrebbe bloccare gli attacchi di spam effettuati con email usa e getta. È possibile anche attivare la protezione tramite hCaptcha.
Il team che gestisce il server mastodon.social ha subito bloccato gli attacchi, mentre quelli più piccoli non hanno le stesse risorse. Ciò evidenzia uno dei punti deboli del fediverso. I server di piccole dimensioni sono semplici progetti avviati per hobby e pertanto sono vulnerabili ad ogni tipo di attacco. Ci sono anche molti server abbandonati che possono essere sfruttati per incrementare lo spam.
Diversi admin hanno pubblicato su GitHub un elenco di server (in continuo aggiornamento) usati per gli attacchi. Tapbots ha rilasciato una nuova versione dell’app Ivory che include un filtro per bloccare la maggioranza dello spam.
Renaud Chaput, CTO di Mastodon, ha dichiarato che le prossime versioni del software offriranno maggiori protezioni contro lo spam. Nel frattempo è stata cambiata l’impostazione predefinita che consentiva la registrazione aperta degli account. Gli amministratori vedranno inoltre un banner che consiglia la frequente moderazione.
Ti potrebbe interessare
21 feb 2024