Mastodon: Spamwelle zeigt Schwächen auf und weckt Sorge vor schlimmerer Methode

Das Fediverse und vor allem große Mastodon-Accounts sind seit Tagen Ziel eines immensen Spam-Angriffs, der sowohl systemimmanente Schwächen, aber auch die Widerstandsfähigkeit aufzeigt. Anders als bei früheren Spamwellen erfolgt die vor allem über kleinere Instanzen, auf denen automatisiert neue Accounts angelegt werden, die massenhaft Nachrichten absetzen und die Benachrichtigungen einiger User überfluten. Hintergrund ist wohl eine Auseinandersetzung zwischen japanischen Jugendlichen. Die Gegenwehr ist vergleichsweise einfach, wird aber durch die Dezentralität erschwert. Gleichzeitig deutet der Spam auf viel schwierigere Szenarien hin. Dass gleichzeitig viele User nichts davon mitbekommen, ist auf den engagierten Einsatz von Instanzverantwortlichen zurückzuführen.

Angriff auf die Kleinen

Waren bei früheren Spamangriffen massenhaft Accounts auf der größten Mastodon-Instanz mastodon.social angelegt worden, die dann von dort ihre Inhalte verbreiteten, trifft es nun nicht die größte, sondern die kleinsten. Automatisiert werden dabei Instanzen ausgesucht, auf denen eine Registrierung ohne Überprüfung und sogar ohne ein Captcha möglich ist. Das können etwa solche mit wenigen Accounts sein, die von Enthusiasten etwa für eine Gemeinde betrieben werden. Waren die Verantwortlichen in den vergangenen Tagen nicht aufmerksam, wurden diese Instanzen dann regelrecht überrannt. Die Spam-Accounts verschickten massenhaft Nachrichten mit einem Bild des namensgebenden Frühstücksfleischs und Links zu Discord-Servern, die wohl lahmgelegt werden sollten.

Mastodon-Chefentwickler Eugen Rochko hat Administratoren und Administratorinnen einer Mastodon-Instanz nun darauf hingewiesen, dass Registrierungen nicht offen sein müssen. Wenn Anmeldungen auf allen Instanzen freigegeben werden müssten, wäre die Quelle im Keim erstickt worden. Sollte auf eine offene Registrierung nicht verzichtet werden können, sollten wenigstens Provider von Wegwerf-E-Mail-Adressen blockiert und Captchas aktiviert werden. Auch das hätte die Welle wohl früh gebrochen. So mussten einige Accounts mit einer Flut an Benachrichtigungen auskommen, auch dafür gibt es aber Abhilfe: So kann man in einem Mastodon-Account gezielt Benachrichtigungen von fremden Accounts ausblenden. Admins können derweil die verantwortlichen Instanzen vorübergehend stummschalten.

Ihren Ausgang genommen hat die Spamwelle wohl nicht auf Mastodon, sondern in der vor allem in Japan beliebten Mikroblogging-Software Misskey, die mit dem Kurznachrichtendienst über das Activity-Pub-Protokoll verbunden ist. Wie der Fediverse Report schreibt, haben die Verantwortlichen der Instanz misskey.io in Japan die Polizei eingeschaltet. Gleichzeitig machen die Vorgänge auf die noch viel größere Gefahr aufmerksam, die die automatisierte Einrichtung von Instanzen für Spamzwecke bedeutet. Standardmäßig wird im Fediverse Kontakt mit jeder neuen Instanz aufgenommen, Blockaden erfolgen manuell. Die Gegenwehr wäre also viel schwieriger, wenn immer neu entstehende Instanzen spammen. Leiden würden vor allem kleine Instanzen unter der Last des unerwünschten Traffics.

Vorher Sicherheitslücke geschlossen

Mastodon war erst vor wenigen Tagen mit einem weiteren Update gegen eine hochriskante Sicherheitslücke abgesichert worden. Unbefugte konnten dadurch beliebige Dateien auf einen Server laden und eine Mastodon-Instanz unter bestimmten Umständen dazu bringen, diese herunterzuladen. So hätten schädliche Inhalte verbreitet werden können. Von der und weiteren Schwachstellen waren auch Server betroffen, die eigentlich keine User-Uploads akzeptieren und hosten (CVE-2024-25623, CVSS 8.5, Risiko "hoch"). Die Mastodon-Versionen 4.2.7, 4.1.15, 4.0.15 sowie 3.5.19 korrigieren die sicherheitsrelevanten Fehler und stehen seit drei Tagen zum Download.

Lesen Sie auch

Debatte auf Mastodon und GitHub: Wie genau Bluesky und das Fediverse verbinden?

(mho)