Negli ultimi giorni il fediverso è stato letteralmente invaso da account spam, dimostrando di non essere affatto immune agli abusi di soggetti malintenzionati. A confermarlo è stato il fondatore e Ceo di Mastodon, Eugen Rochko, che nel weekend ha avvertito di un vero e proprio attacco al fediverso, in cui “gli aggressori stanno prendendo di mira i server più piccoli per creare account” spam, sfruttando l’opportunità di una registrazione aperta. Una strategia del tutto nuova, considerando che fino a ora era stato soprattutto il server di Mastodon.social a subire attacchi di questo tipo. “Per gli amministratori di server là fuori – scrive, infatti, Rochko su Mastodon –. Se non avete bisogno di registrazioni aperte, passate alla modalità di approvazione. Se invece ne avete bisogno, il blocco dei provider di e-mail usa e getta è una buona soluzione al problema”.
Le vulnerabilità
La questione sembra essere alquanto complessa. Negli ultimi giorni decine di account spam, che sembrerebbero legati a due gruppi di criminali informatici che hanno avuto un battibecco su un forum giapponese, hanno invaso anche Misskey – una piattaforma di blogging decentralizzata e open source che utilizza il protocollo ActivityPub al pari di Mastodon, Pixelfed e PeerTube –, sollevando non poche lamentele da parte della community. Al di là dell’assurdità della questione, l’attacco al fediverso mette in luce le reali debolezze del sistema decentralizzato. Considerando che i server più piccoli sono gestiti da appassionati, che spesso ignorano i reali pericoli della rete, non c’è da stupirsi che questi abbiano lasciato aperte le registrazioni alle istanze, permettendo così la creazione di account spam che si sono diffusi a macchia d’olio.Anzi, come affermato da un amministratore di uno dei server del fediverso, il vero problema sta nel fatto che “ci sono molte istanze abbandonate là fuori, con la porta spalancata per la registrazione senza approvazione”.
Possibili soluzioni
Per cercare di fermare la diffusione dello spam, quindi, gli amministratori dei server hanno lavorato insieme per creare un elenco delle istanze abbandonate, in modo che ogni responsabile possa utilizzarlo per difendere gli utenti iscritti al proprio server. Alcuni degli amministratori, invece, hanno preferito chiudere i server per evitare di doversi trovare a gestire un exploit di account spam. Mentre Ivory, un client alternativo per Mastodon, ha rilasciato un aggiornamento che aggiunge il filtro “potenziale spam” per tenere al sicuro i suoi utenti da eventuali menzioni fastidiose.
Una serie di azioni ben mirate che, a quanto pare, stanno lentamente risolvendo il problema. Secondo quanto riportato da TechCrunch, gli amministratori dei server riferiscono che il numero di account spam presenti sui server è in calo, ma questo non sembra bastare per placare gli animi degli utenti infastiditi da quanto accaduto e dall’incapacità del team di Mastodon di risolvere la questione in tempi brevi. Insomma, è evidente che il fediverso abbia un problema, ma il Cto di Mastodon, Renaud Chaput, sembra più che convinto che questo sia risolvibile: “Al momento, non esistono buoni strumenti integrati per gestire questa situazione, poiché si tratta di una questione complessa: le reti federate non sono facili! Ma abbiamo molte idee su come migliorare le nostre funzionalità di lotta allo spam e agli abusi”.
Fonte : Wired
