Twitter替代品Mastodon并不安全

马斯克入主Twitter后，整体解雇了安全和隐私团队，这让担心安全问题的用户开始需求替代品，Mastodon就是这股逃离Twitter热潮的最大受益者，但它存在的安全问题并不比Twitter少。

随着 Elon Musk 的批评者逃离 Twitter，Mastodon 似乎是最常见的替代者。上个月，Mastodon 的月活跃用户数量猛增了三倍多，从大约 100 万增加到 350 万，而用户总数从大约 650 万猛增到 870 万。

这种大幅增加引发了关于这个新平台安全性的重要问题，这是有充分理由的。与 Twitter 和几乎所有其他社交媒体平台的集中式模型不同，Mastodon 建立在独立服务器（称为实例）的联合模型之上。在这方面，它更类似于电子邮件或互联网中继聊天 (IRC)，其中安全性取决于配置它和维护每个单独服务器的管理员的能力和注意力。

在过去的一个月里，实例数量从大约 11,000 个激增到超过 17,000 个。运行这些实例的人是志愿者，他们可能精通也可能不精通安全的细微差别。配置和维护实例的难度为错误留下了很大的空间，这些错误可能会使用户密码、电子邮件地址和 IP 地址面临泄露的风险（稍后会详细介绍）。Twitter 的安全性还有很多不足之处，但至少它拥有一支具有深厚安全背景的敬业员工队伍。

安全隐患

“老实说，我认为这是最大的安全问题，”Mike Lendvay 是一位经过认证的信息安全专家和经过认证的云安全专家，他还运行着 Mastodon 实例 friendsofdesoto.social。“特别是对于 Twitter 侨民，你有很多服务器非常快速地增长，并且管理它们的人员的技能水平将非常不均衡。”

另一个问题是为 Mastodon 平台提供支持的软件。它从未经过正式的安全审计，尽管欧盟委员会发起了一项漏洞赏金计划，该计划为 35 个有效漏洞提交提供了补丁。本月早些时候，一名研究人员在多个实例中发现了一个错误配置，允许下载和删除存储在服务器上的所有文件并替换每个用户的个人资料图片。

缺乏审计和外部人员多年的可靠安全测试意味着几乎肯定存在严重的安全漏洞。

就此而言，本月另一名研究人员发现了一台服务器，该服务器以某种方式设法从配置错误的服务器上抓取了超过 150,000 名用户的数据。幸运的是，数据仅限于帐户名、显示名、个人资料图片、关注人数、关注者人数和上次状态更新。本月在一个实例中发现的第三个漏洞可以通过将特制的 HTML 注入网站来窃取用户的明文密码。

当然，所有平台都存在这些类型的漏洞，一旦报告，Mastodon 开发人员和实例管理员会迅速修补它们。但其他平台拥有安全工程师、研究人员和合规专家团队，他们仔细研究最近修补的漏洞，以确保他们的平台运行最新组件。Mastodon 的联邦结构无法复制这一点。至少可以说，期望志愿者以与中心化平台相同的规模表现是不现实的。

利用 Heartbleed 漏洞窃取纳税人数据缺乏专门的安全团队可能是一个问题，特别是在 Mastodon 所依赖的软件生态系统中存在高安全漏洞的情况下。该平台基于 Ruby on Rails、Postgres 和 Redis 构建。一方面，这三个开源应用程序的组合是久经考验的，被包括 GitHub、GitLab、Shopify 和 Discourse 在内的著名平台所使用。

但是，如果其中一个应用程序受到HeartBleed之类的严重攻击，事​​情可能会变得很糟糕，这是2014年开源 OpenSSL 应用程序中的 严重漏洞，导致银行网站和其他高价值目标的各种敏感数据泄露。

更重要的是，Mastodon 软件没有自动更新甚至更新可用性功能。

“你必须亲自检查 GitHub 版本，”Lendvay 说。“我试着每周都这样做。但对于许多人来说，我想他们会通过小道消息听到。我见过不同的版本在运行，所以谁知道一致性会怎样。”

Mastodon——或者至少托管广为人知或有影响力的用户的实例——也可能更容易受到分布式拒绝服务攻击 (DDos) 的影响，这种攻击通过用超出其处理能力的流量或命令轰炸服务器来使站点离线。资金雄厚的集中式平台将 DDoS 缓解服务器视为基本成本。志愿者运行的实例不太可能拥有相同的资源。如果 Mastodon 的用户群继续保持目前的快速增长，这种敏感性可能会被用来压制各种批评。

除了窃取数据外，黑客还可能试图破解有影响力的人的帐户或控制管理功能。无论哪种情况，黑客都可以继续冒充有影响力的用户。

一位用户说： “我敢打赌，ActivityPub 协议中存在漏洞，可以让某人广播由著名句柄引起的虚假嘟嘟声。或者还会发现其他一些协议问题。”

最后，假设大规模运行，Mastodon 可能更容易受到骚扰和错误信息活动的影响。

“在人身安全方面，没有很多防止骚扰的保护措施，” Nexus of Privacy的乔恩·平卡斯 (Jon Pincus) 说。“许多实例都没有得到很好的管理（包括 [Mastodon 的创建者] Eugen [Rochko] 运营的 mastodon.social）。即使是精心策划的实例也可能被坚决的攻击所淹没。”

不用过于恐慌

Mastodon的安全性也并非一无是处。以上安全隐患并不意味着使用Mastodon不安全。虽然其去中心化结构确实带来了安全挑战，但其用户面临的风险与使用 Twitter 或任何其他社交媒体网站甚至大多数开源软件的人所面临的风险其实没有太大不同。

“如果你将 Mastodon 与其他软件产品（Mastodon 就是）进行比较，例如 WordPress、Discourse、Nginx 等，没有区别，”Mastodon 的创始人兼 Mastodon gGmbH 首席执行官 Rochko 在一封电子邮件中写道。“我们接受负责任地披露的错误，将它们保密，直到准备好修复以避免在野外利用，宣布安全版本，然后在可以安装修复程序时揭示错误是什么。一直以来，认真对待 Mastodon 的运营商都会迅速升级；不这样做的运营商通常只对自己和他们的朋友/家人负责。”

更重要的是，与许多同行相比，Mastodon 具有一些优势。一方面，该网站收集的个人数据要少得多。最值得注意的是，它不存储电话号码，也没有跟踪用户兴趣的算法。这篇出色的文章展示了各种实例将拥有的个人数据。一个人使用的实例最多，但即便如此，它也仅限于该人的公共和私人消息、电子邮件地址和加密散列密码。

存储较少的个人信息使 Mastodon 成为较低价值的目标，这意味着即使一个实例被黑客入侵，黑客可以获取的数据也较少。可能使 Mastodon 成为不太可能成为目标的另一件事是它的去中心化。像 Twitter 或 Facebook 这样的网站让黑客有机会通过一次黑客攻击窃取数亿人的数据。Mastodon 的实例的用户数量少了几个数量级。

Mastodon 还提供开箱即用的强大双因素身份验证。这意味着使用物理安全密钥进行身份验证的用户不会受到凭据网络钓鱼攻击。

那么迁移到 Mastodon 的人要做什么呢？

“我的看法与 Twitter 相同，”cyberplace.social 实例的安全专家兼管理员 Kevin Beaumont 说。“不要在社交媒体上写任何你不会在公开场合写的东西。就像 Twitter 在不加密的情况下处理直接消息一样，Mastodon 消息也没有加密。”

这意味着就像 Twitter 一样，管理员或成功破解该平台的人可以阅读直接消息。

用户该怎么做？

以下是一些基本安全准则：

• 使用随机生成的唯一长密码保护您的帐户，并启用 2FA，最好使用安全密钥而不是身份验证应用程序。
• 考虑使用DuckDuckGo或Apple等电子邮件隐私保护服务，并在注册帐户时使用该服务。
• 不要在您的帐户中放置任何机密信息。这包括直接消息。
• 在决定加入哪个实例时，请确保它运行的是最新版本的 Mastodon 软件。运行过时版本的实例表明管理员没有良好的安全卫生。版本号显示在服务器页面的左下方，最新版本可在此处找到。如果可能，还要查明管​​理员是否定期备份数据。还要考虑管理人员的经验。经验丰富的安全专业人员可能比几乎没有受过培训的业余爱好者更加小心。
• 放大/此配置文件中的绿色框验证用户是否与给定站点相关联。 使用 Mastodon 的链接验证功能验证您的帐户。这将使别人更难冒充您。请记住，某人个人资料中的蓝色复选标记没有任何意义。已验证的 Mastodon 帐户由带有复选标记的绿色框表示。
• 虽然避免直接消息是一个很好的策略，但请注意，如果您发送给 A 的 DM 包含 B 的 Mastodon 句柄，B 将自动被拉入对话。如果您不打算让 B 阅读您的消息，这可能会使事情变得尴尬。
• 阅读您正在考虑的实例的隐私政策，以确保您的数据不会传递给第三方。它可能因人而异。

遵循这些准则的人不太可能比在马斯克的领导下继续使用 Twitter 承担更多的风险，而且他们很可能会承担更少的风险。

“Twitter 没有首席信息安全官……或大部分安全或隐私团队，”博蒙特说，他指的是马斯克解雇 Twitter 首席信息安全官的事件。“它还有一位在中国和俄罗斯都很受欢迎的首席执行官。在过去的一个月里，Twitter 在用户安全方面以如此惊人的方式搞砸了。”