يسلط هجوم البريد العشوائي على Mastodon المنافس لـ Twitter/X الضوء على نقاط الضعف “المتنوعة”.

يسلط هجوم البريد العشوائي الذي أثر على تطبيقات Mastodon وMisskey المنافسة مفتوحة المصدر وغيرها من التطبيقات، الضوء على مدى تعرض شبكة الويب الاجتماعية اللامركزية، والمعروفة أيضًا باسم fediverse، لإساءة الاستخدام. على مدار الأيام القليلة الماضية، استهدف المهاجمون خوادم Mastodon الأصغر حجمًا، مستفيدين من التسجيلات المفتوحة لأتمتة إنشاء حسابات البريد العشوائي. أكد يوجين روشكو، المؤسس والرئيس التنفيذي لشركة Mastodon، الهجوم في منشور خلال عطلة نهاية الأسبوع، مضيفًا أنه يجب على مسؤولي خادم Mastodon تحويل التسجيل إلى وضع الموافقة وحظر موفري البريد الإلكتروني للتخلص من المشكلة للمساعدة في مكافحة المشكلة.

على الرغم من أن هذا ليس أول هجوم بريد عشوائي يؤثر على Fediverse، إلا أن Rochko يشير إلى أنه تم استهداف الخوادم الأكبر حجمًا فقط مثل Mastodon.social سابقًا. نظرًا لأن هذا الخادم يتم تشغيله بواسطة فريق Mastodon الخاص، فقد تمكنوا من التخفيف من تلك الهجمات بأنفسهم. الأمر المختلف هذه المرة هو أن مرسلي البريد العشوائي استهدفوا الخوادم الأصغر حجمًا وحتى المهجورة التي تقدم تسجيلًا مفتوحًا، مما يسمح للجهات الفاعلة السيئة بإنشاء حسابات بسرعة وإنشاء بريد عشوائي.

هذا الهجوم بالذات، والذي كان مؤتمتًا بالكامل عندما علم المهاجمون أنهم يستطيعون كتابة رسائل غير مرغوب فيها، كان سببه نزاع بين طرفين على Discord، حيث كان أحد الطرفين يحاول حظر خادم Discord الخاص بالجانب الآخر، وفقًا لتقارير Mastodon. (مزيد من التفاصيل حول ذلك هنا.) العديد من الأهداف الأخرى لمرسلي البريد العشوائي لم تكن Mastodon وحدها – بل كانت تستهدف Misskey أيضًا. (Misskey عبارة عن منصة تدوين لامركزية مفتوحة المصدر تستخدم بروتوكول ActivityPub، مثل Mastodon وPixelfed وPeerTube وغيرها، مما يسمح لمستخدميها بالتفاعل مع مستخدمي منصات التواصل الاجتماعي الموحدة الأخرى.) نظرًا لأن أصول البريد العشوائي تبدو يابانية في المنتدى، كانت العديد من الأهداف موجودة أيضًا في اليابان.

سلط هجوم البريد العشوائي الضوء على إحدى نقاط الضعف التي تأتي مع كيفية تنظيم النظام الفيدرالي. Mastodon هو برنامج مفتوح المصدر يمكن لأي شخص تثبيته على الخادم الخاص به، مما يؤدي بشكل أساسي إلى إنشاء مثيله الخاص، أو العقدة، التي تتصل بخوادم الشبكات الاجتماعية الموحدة الأخرى، والمدعومة ببروتوكول ActivityPub.

نظرًا لأن خوادم Mastodon الأصغر غالبًا ما تكون عبارة عن مشاريع هواة يديرها المتحمسون، فقد كانت عرضة لهذا النوع من الهجمات. إذا لم يكن مسؤولو الخادم يهتمون بخوادمهم بشكل يومي وعرضوا تسجيلات مفتوحة، فمن المحتمل أن يكونوا ضحايا البريد العشوائي.

أو كما لاحظ أحد مسؤولي الخادم، @Chris@mastodon.cosmicnation.co، “تم تذكير بعض مسؤولي المثيلات بأن لديهم مثيلًا. وعلمنا أيضًا أن هناك الكثير من الحالات المهجورة وبابها مفتوح على مصراعيه للتسجيل دون موافقة.”

على مدار الأيام القليلة الماضية، عمل مسؤولو الخادم معًا لإنشاء قوائم مستمرة للمثيلات المهجورة التي يمكن للمسؤولين الآخرين استخدامها كأساس لقائمة الحظر لحماية مستخدميهم من هجمات البريد العشوائي. تم إغلاق العديد من الخوادم ببساطة لأن مسؤوليها قرروا أنه سيكون من الأسهل انتظار انتهاء الهجوم أو التخلي عن Mastodon تمامًا.

أصدر تطبيق Mastodon الشهير التابع لجهة خارجية Ivory، من Tapbots، تحديثًا طارئًا يتضمن مرشحًا مخصصًا يُطلق عليه اسم “البريد العشوائي المحتمل”، في علامة التبويب “تصفية” والذي سيسمح للمستخدمين بتجاهل إشارات البريد العشوائي. وقالت الشركة إنه يمكن للمستخدمين المتأثرين تشغيل هذا الفلتر لالتقاط معظم الرسائل غير المرغوب فيها، لكنهم لم يتمكنوا من إيقاف إشعارات البريد العشوائي.

ويبدو أن الهجوم قد بدأ في التراجع اعتبارًا من هذا الصباح. أشار التقني والباحث تيم تشامبرز (@tchambers@indieweb.social) إلى أن اليوم هو أول يوم خلال أربعة أيام لديه أقل من 40 حسابًا غير مرغوب فيه لتعليقها على الخادم الذي يشرف عليه، على سبيل المثال. أخبر Mastodon موقع TechCrunch أنه على الخوادم النشطة مع فريق إشراف تفاعلي، يمتلك Mastodon أدوات متعددة لمنع تسجيل الحساب الآلي، بما في ذلك وضع الموافقة واختبارات CAPTCHA وأدوات الحظر المختلفة، لذلك تم التعامل مع المهاجم بسرعة كبيرة. كما أشارت أيضًا إلى أن هجوم البريد العشوائي قد بدأ في التراجع حيث يبدو أن مجموعتي المتسللين قد توصلتا إلى السلام.

وبينما رأى البعض أن التجربة إيجابية بالنسبة لشبكة التواصل الاجتماعي والعالم الأوسع، إذ كشفت عن نقطة ضعف يمكن الآن مناقشتها ومعالجتها، أعرب آخرون عن غضبهم من التجربة وعدم استجابة روشكو في الساعات الأولى من الهجوم.

“هذا يدمر تجربتي في Mastodon بالنسبة لي. “هذا يجعلني أرغب في الابتعاد والاستسلام،” كتب أحد مشرفي خادم Mastodon sam@urbanists.social. وقالوا: “إن صمت يوجين المستمر بشأن المشكلة لا يساعد في حل ذلك”.

وقال Renaud Chaput، CTO في Mastodon، إن الهجوم سيدفع الشركة إلى تحسين برامجها.

“في الوقت الحالي، لا توجد أدوات مدمجة جيدة للتعامل مع هذا الأمر، نظرًا لأن هذه مشكلة معقدة – فالشبكات الفيدرالية ليست سهلة! – ولكن لدينا العديد من الأفكار حول كيفية تحسين ميزات مكافحة البريد العشوائي وإساءة الاستخدام لدينا. “سيتم العمل عليها خلال الأشهر المقبلة. نحن نعمل دائمًا على تحسين البرنامج (قدم الإصدار الأخير دعمًا اختياريًا لكلمة التحقق). إجراء آخر اتخذناه اليوم هو تبديل الإعداد للمثيلات الجديدة بحيث لا تكون مفتوحة على نطاق واسع افتراضيًا، وأضفنا شعارًا لتذكير المسؤولين بأن المثيلات المفتوحة بالكامل تحتاج إلى الإشراف بشكل نشط، لذلك يجب أن يكون هذا قرارًا دقيقًا من قبل المسؤول وأضاف تشابوت.

منذ وصول Instagram Threads، وهو منافس آخر لـ Twitter/X ويخطط أيضًا للتوحيد باستخدام ActivityPub، بدأ استخدام Mastodon في الاتجاه نحو الانخفاض.

وفي أكتوبر من العام الماضي، نما موقع Mastodon ليشمل حوالي 1.8 مليون مستخدم نشط شهريًا. وبحلول الوقت الذي تم فيه إطلاق Threads علنًا، انخفض العدد إلى 1.5 مليون. اعتبارًا من الإطلاق العام لـ Bluesky هذا الشهر، وهي شبكة اجتماعية لامركزية أخرى تعتمد على بروتوكول مختلف (مما يعني أنها ليست جزءًا من نفس الاتحاد، على الأقل حتى يتم بناء الجسر)، انخفض استخدام Mastodon إلى مليون مستخدم نشط شهريًا.

هذا هو المكان الذي يظل فيه استخدام Mastodon اليوم، وفقًا للصفحة الرئيسية للشركة. أما المجموعة الأوسع، والتي تشمل Mastodon وتطبيقات أخرى، فتضم حوالي 2.9 مليون مستخدم نشط شهريًا. سيؤدي دخول Threads إلى هذا الفضاء إلى تقزيم خوادم Mastodon الأخرى ويمكن أن يمنح خبرة Meta الفنية في مجالات مثل منع البريد العشوائي، لكن الكثيرين يشعرون بالقلق من أن هدف Meta النهائي سيكون السيطرة بشكل أساسي على الكون من خلال أن يصبح العميل الافتراضي الذي يختاره المستخدمون ويستخدمون خدماته. موارد كبيرة لتوسيع نطاق اعتماد تطبيق Meta.

تم التحديث في 20/2/24، الساعة 1:31 مساءً بالتوقيت الشرقي لإضافة تعليق Mastodon CTO