今日要闻!“去中心化版Twitter”Mastodon曝出严重漏洞
本周三晚间,安全研究员Lenin Alevski警告说社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。
过去一个月,大量Twitter用户因特斯拉创始人埃隆·马斯克接管Twitter所带来的剧变而纷纷“叛逃”到“去中心化版Twitter”——Mastodon。
(资料图片仅供参考)
然而,Alevski和Gareth Heyes等安全研究人员发现Mastodon安全成熟度很差。
例如,Alevski发现Mastodon的一个实例——infosec.exchange被上传到未能应用访问控制的存储桶。
Alevski在一篇技术博客文章(链接在文末)透露该漏洞使攻击者有可能访问用户的个人资料图片或任何其他上传的数据,并将其替换为任意内容。
该漏洞还意味着攻击者可以从服务器下载文件——包括通过直接消息(DM)共享的文件(Mastodon上的DM与Twitter不同,省略了加密)。攻击者还有可能实施包括删除服务器文件的破坏性攻击。总之,这个安全漏洞为各种恶作剧和恶意行为敞开了大门。
Alevski向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告了该漏洞后立即得到响应。
Bell表示:“该漏洞是存储桶访问策略配置错误,我没有从默认访问路径中删除写访问权限。”
在问题解决后发布的博客文章中,Alevski补充说:“对象存储级别的系统配置错误会破坏Mastodon的所有安全机制”。
Alevski最后警告说:infosec.exchange绝不是Mastodon生态系统中系统配置漏洞的个案。安全研究人员仍在不断发现其他Mastodon实例上的配置错误。
“我在其中几个(其他实例)中发现了类似的问题,并且已经报告了这些漏洞。”Alevski说道。
相关阅读
-
今日要闻!“去中心化版Twitter”Mastodo...
本周三晚间,安全研究员LeninAlevski警告说社交媒体平台Mastodon的... -
电动汽车充电基础设施的网络安全,你准...
近日,美国能源部桑迪亚国家实验室发布消息称,随着电动汽车变得越... -
当前速看:北约联合空中力量能力中心探...
2022年10月11至13日,北约官方智库联合空中力量能力中心(JAPCC)召... -
环球消息!SASE厂商亿格云获近亿元A轮融...
日前,杭州亿格云科技有限公司(简称:亿格云)正式宣布完成A轮近亿... -
环球今日报丨俄军为前线的电子战人员颁...
2022年11月17日,俄罗斯中央军区司令部向特别军事行动中表现卓越的... -
亚洲航空500万个人数据信息泄露,涉及姓...
TheHackerNews网站披露,马来西亚廉价航空公司-亚洲航空内部系统遭...