Twitter-Alternative: Datenleck bei Mastodon.social

Die Instanz Mastodon.social hat seine Nutzer über ein Datenleck informiert. Demnach sollen Dritte auf Direktnachrichten zugegriffen haben.

Artikel veröffentlicht am ,
Ein Konfigurationsfehler führte zu einem Datenleck bei der Hauptinstanz Mastodon.social.
Ein Konfigurationsfehler führte zu einem Datenleck bei der Hauptinstanz Mastodon.social. (Bild: Joinmastodon.org)

Mehrere Mastodon-Nutzer wurden kürzlich über einen "Security Incident auf Mastodon.social" informiert, dem originalen Server, der durch die Mastodon gGmbH betrieben wird. Durch eine Fehlkonfiguration konnten demnach Dritte alle Daten von files.mastodon.social abrufen.

Die meisten der dort abgelegten Dateien sind zwar ohnehin öffentlich einsehbar, darunter die Profilbilder, benutzerdefinierte Emojis, Bilder und Videos, allerdings nicht alle: Auch die von Nutzern angeforderten Datenexporte wurden hier abgelegt, in denen auch nicht-öffentlich geteilte Beiträge enthalten sind.

So sind neben den öffentlichen Beiträgen auch Direktnachrichten oder Follower-only-Posts enthalten. Dazu kommen Favoriten, Lesezeichen sowie das öffentliche Profil. Die E-Mail-Adresse und andere personenbezogene Daten seien nicht enthalten, sofern sie nicht Teil von Beiträgen gewesen seien, betonte Eugen Rochko, CEO der Mastodon gGmbH, in der E-Mail.

Zugriff von Dritten auf die Datenexporte wahrscheinlich

Demnach wurde die Fehlkonfiguration am 24. Februar bemerkt und innerhalb von 30 Minuten behoben. Vermutlich bestand sie jedoch seit dem 2. Februar. "Wir haben alle Datenexporte sofort gelöscht, um zu verhindern, dass jemand sie herunterlädt, aber wir haben Grund zu der Annahme, dass zumindest einige von ihnen von Unbefugten heruntergeladen wurden", heißt es in der E-Mail.

"Wir haben keine Protokolle über Zugriffe auf die Archive, aber da die Person, die uns über die Fehleinstellung informiert hat, keine Responsible Disclosure versucht und stattdessen öffentlich davon gesprochen hat, können wir Zugriffe leider nicht ausschließen", erklärte Rochko auf Nachfrage.de Golem.de.

Ein betroffener Nutzer berichtete davon, dass sein Datenexport vom 5. Dezember stamme, also knapp drei Monate vor der Entdeckung der Fehlkonfiguration. Rochko betonte hingegen, dass die Archive nach ihrer Erstellung nur sieben Tage lang existieren würden.

Insgesamt seien 5.000 Nutzer von Mastodon.social und weitere 1.037 von Mastodon.online betroffen, sagte Rochko. "Das Problem war ein Menschenfehler bei der Einstellung des S3-Buckets währen des Umzugs auf neue Infrastruktur." Man habe entsprechende Fehlkonfigurationen auch bei anderen Instanzen entdeckt und diese informiert, bevor man den Vorfall öffentlich gemacht habe.

"Wir entschuldigen uns aufrichtig für diesen Fehler. Wir sind dabei, die Mastodon-Software so zu ändern, dass sie sich nicht mehr auf High-Entropy-Links für die Zugriffskontrolle auf Archivmitnahmen verlässt, und wir fügen eine automatische Überprüfung in das Admin-Dashboard ein, um ähnliche Fehlkonfigurationen zu erkennen und andere Serverbetreiber darüber zu informieren", erklärte Rochko.

Nachtrag vom 18. März 2023, 13:00 Uhr

Wir haben den Artikel um Antworten von Eugen Rochko auf Nachfragen von Golem.de ergänzt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


yumiko 20. Mär 2023

Kostet Serverpower aka Geld/Strom. Die großen Anbieter wie Telegram haben...

TheUnichi 19. Mär 2023

Man sollte mindestens den Mund zu den technischen Themen dahinter halten, wenn man davon...

Gryphon 18. Mär 2023

Nachtrag: Der Artikel wurde aktualisiert, anscheinend waren doch andere Instanzen...

JanZmus 18. Mär 2023

Absolut, aber man kann die Wahrscheinlichkeit so niedrig wie möglich halten.



Aktuell auf der Startseite von Golem.de
Intel Core i9-14900KS
Intel ist wahnsinnig geworden - zum Glück!

Um den Core i9-14900KS zur schnellsten Allround-CPU zu machen, hat Intel den Weg der Vernunft scheinbar vollständig verlassen. Doch dahinter stecken gute Neuigkeiten für Intel-Kunden.
Ein IMHO von Martin Böckmann

Intel Core i9-14900KS: Intel ist wahnsinnig geworden - zum Glück!
Artikel
  1. Streaming: Twitch verbietet Popos als Leinwand
    Streaming
    Twitch verbietet Popos als Leinwand

    Auf Hinterteile projizierte Streams sind auf Twitch künftig verboten: Der zu Amazon gehörende Dienst geht gegen einen absurden Trend vor.

  2. Ausländische Fachkräfte: Intel-HR-Manager fordert Willkommenskultur in Magdeburg
    Ausländische Fachkräfte
    Intel-HR-Manager fordert Willkommenskultur in Magdeburg

    Die Politik müsse sich laut Intel bei der Integration von ausländischen Fachkräften mehr anstrengen. Diese könnten sich das Land aussuchen, indem sie arbeiten.

  3. Truth Social: Warum Trumps kleines Netzwerk Milliarden wert wurde
    Truth Social
    Warum Trumps kleines Netzwerk Milliarden wert wurde

    Donald Trumps verlustbringender Twitter-X-Klon Truth Social wird nach seinem Börsengang mit 9 Milliarden US-Dollar bewertet. Es ist eine Spekulationsblase - und eine Investition in eine potenzielle Trump-Präsidentschaft.
    Ein Bericht von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Palit 4070 Super 579,95€ • Xbox-Controller ab 39,99€ • AVM Fritzbox + Repeater -30% • DVDs & Blu-rays -31% • EA -75% • Ubisoft -50% • MindStar: AMD Ryzen 9 7900 339€, MSI RTX 4080 Super Ventus 3X OC 1.099€ • Gratis-Zugaben PS5 Slim & Nintendo Switch OLED beim TV-Kauf [Werbung]
    •  /