Mastodon a subi une grave fuite de données. Selon la solution open source avec connexions Twitter, l’instance Mastodon.social est concernée. Apparemment, des tiers ont même eu accès aux messages directs.
Une mauvaise configuration a conduit à une fuite de données chez Mastodon
Toute personne se trouvant dans l’instance Mastodon.social a peut-être reçu un message du service ces derniers jours. Ainsi, les personnes concernées par une fuite de données désormais connue ont été informées d’un « incident de sécurité sur Mastodon.social ». Des tiers auraient eu accès à des messages directs ou à des publications exclusivement adressées aux abonnés. Cependant, le PDG Eugen Rochko trouve également des mots rassurants dans son e-mail d’avertissement. Pour le moment, il est probablement impossible que les données personnelles des utilisateurs soient également affectées par la fuite de données. La cause de la fuite était probablement une mauvaise configuration. Cela a permis à des tiers d’accéder facilement aux données de l’archive de l’instance.
En savoir plus sur le sujet :
- Les nouvelles règles de Twitter interdisent les références à Mastodon, Facebook ou Linktree
- Mastodon : Une bonne alternative à Twitter ?
La fuite de données existait depuis au moins trois mois
Selon le service, ils ont enregistré l’existence d’une mauvaise configuration le 24 février. Par la suite, il n’aurait fallu qu’une demi-heure pour corriger l’erreur. Cependant, la question se pose de savoir combien de temps les criminels ont eu accès aux données exposées. Le service lui-même soupçonne qu’il existe depuis le 2 février. Cependant, un utilisateur du réseau social donne une information différente. Il a indiqué que ses données avaient déjà été exportées le 5 décembre. Si tel était le cas, la fuite aurait duré plus de trois mois. Cependant, Rochko a contredit cette information.
Le PDG a également révélé le nombre exact de personnes concernées. Si vous ajoutez les utilisateurs de Mastodon.social à ceux de Mastodon.online, qui a également été concerné, vous obtenez plus de 6 000 utilisateurs. De plus, c’est une erreur humaine qui a conduit à une mauvaise configuration. Le mauvais réglage a également été trouvé dans d’autres chaînes du service. Bien sûr, cela a également été corrigé ici. Rochko a déclaré à ses collègues de Golem.de qu’aucune preuve d’accès aux données n’avait pu être trouvée dans les archives. Néanmoins, l’accès ne peut être exclu avec une certitude absolue.
