Η πλατφόρμα κοινωνικής δικτύωσης Mastodon διόρθωσε μια κρίσιμη ευπάθεια που επιτρέπει απάτες πλαστοπροσωπίας και κλοπή λογαριασμών.
Τα Instances (servers) στο Mastodon είναι αυτόνομα αλλά διασυνδεδεμένα communities που έχουν τις δικές τους κατευθυντήριες γραμμές και πολιτικές, οι οποίες ελέγχονται από κατόχους που παρέχουν την υποδομή και ενεργούν ως διαχειριστές των διακομιστών τους.
Η ευπάθεια που διορθώθηκε, παρακολουθείται ως CVE-2024-23832 και προέρχεται από ανεπαρκές origin validation στο Mastodon. Αυτό επιτρέπει σε έναν πιθανό επιτιθέμενο να μιμείται άλλους χρήστες και να παίρνει το έλεγχο των λογαριασμών τους.
Δείτε επίσης: Πώς να βρείτε στο Mastodon τους Twitter followers και φίλους σας;
Η ευπάθεια θεωρείται κρίσιμη, με βαθμολογία 9.4/10 στην κλίμακα σοβαρότητας ευπαθειών CVSS. Επηρεάζει όλες τις εκδόσεις Mastodon πριν από τις 3.5.17, 4.0.13, 4.1.13 και 4.2.5.
Οι διαχειριστές των Mastodon server πρέπει να εφαρμόσουν την ενημέρωση 4.2.5 το συντομότερο δυνατόν, για να προστατεύσουν τους χρήστες των instances τους.
Η Mastodon δεν έχει αποκαλύψει ακόμα τεχνικές λεπτομέρειες, για να αποτρέψει την εκμετάλλευση της ευπάθειας. Ωστόσο, θα δώσει περισσότερες πληροφορίες στις 15 Φεβρουαρίου 2024, επομένως ως τότε πρέπει να έχει εφαρμοστεί η ενημέρωση από όλους για να μην κινδυνεύσουν.
Δυστυχώς, οι χρήστες του Mastodon δεν μπορούν να κάνουν τίποτα για να προστατευτούν. Οι διαχειριστές των servers πρέπει να αναβαθμίσουν στην ασφαλή έκδοση.
Η Mastodon ειδοποιεί τους διαχειριστές διακομιστή μέσω ενός banner σχετικά με την κρίσιμη ενημέρωση, επομένως είναι βέβαιο ότι όλοι γνωρίζουν για την ευπάθεια και είναι στο χέρι τους να δράσουν όπως πρέπει.
Δείτε επίσης: Cloudflare: Πώς ένα hack της Okta οδήγησε σε παραβίαση της εταιρείας;
Οι επιπτώσεις της πλαστοπροσωπίας και της κλοπής λογαριασμού στο Mastodon μπορεί να είναι σημαντικές, επηρεάζοντας μεμονωμένους χρήστες, κοινότητες αλλά και την ακεραιότητα της πλατφόρμας συνολικά.
Αν και για αυτή την ευπάθεια μπορούν να αναλάβουν δράση μόνο οι διαχειριστές, υπάρχουν κάποια μέτρα που μπορούν να λάβουν και οι χρήστες για να προστατεύουν το λογαριασμό τους.
Τρόποι προστασίας των Mastodon accounts
Πρώτον, είναι σημαντικό να χρησιμοποιείτε έναν ισχυρό κωδικό πρόσβασης για τον λογαριασμό σας στο Mastodon. Ο κωδικός πρόσβασης πρέπει να είναι μοναδικός και να περιλαμβάνει συνδυασμό γραμμάτων, αριθμών και συμβόλων.
Δεύτερον, ενεργοποιήστε τον έλεγχο ταυτότητας δύο παραγόντων για τον λογαριασμό σας. Αυτό σημαίνει ότι θα χρειαστεί να εισάγετε έναν δεύτερο κωδικό πρόσβασης που θα σας αποσταλεί μέσω SMS ή μέσω μιας εφαρμογής authenticator κάθε φορά που θα συνδέεστε στον λογαριασμό σας.
Δείτε επίσης: Europcar: Αρνείται τους ισχυρισμούς περί παραβίασης δεδομένων
Τρίτον, προσέξτε τις εφαρμογές τρίτων που έχετε εξουσιοδοτήσει να έχουν πρόσβαση στον λογαριασμό σας. Αν δεν αναγνωρίζετε μια εφαρμογή ή δεν τη χρησιμοποιείτε πλέον, αφαιρέστε την πρόσβασή της.
Τέλος, είναι σημαντικό να διατηρείτε το λογισμικό της συσκευής σας ενημερωμένο. Οι ενημερώσεις λογισμικού συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον λογαριασμό σας από την εκμετάλλευση των ευπαθειών.
Πηγή: www.bleepingcomputer.com