Vulnerabilidade no Mastodon permitia roubar contas

Uma vulnerabilidade crítica no Mastodon permitia que atacantes se fizessem passar por outros utilizadores e apoderarem-se das suas contas.

O Mastodon tem sido a rede social descentralizada que mais frequentemente é referida como sendo alternativa ao X / Twitter, mas apesar de recorrer ao protocolo standard ActivityPub não está livre de falhas. E desta vez é uma falha crítica de segurança.

A falha CVE-2024-23832 afecta todas as versões do Mastodon anteriores às 3.5.17, 4.0.13, 4.1.13, e 4.2.5, e possibilitava que atacantes se pudessem fazer publicações como se fossem outros utilizadores, e até apoderarem-se das suas contas. Tendo em conta a gravidade (9.4 numa escala de 10), não foram revelados detalhes sobre a falha para dar tempo para que os administradores possam actualizar os seus servidores - sendo que para isso está a ser apresentado um alerta bem visível nas versões afectadas.

A rede Mastodon conta actualmente com 12 milhões de utilizadores espalhados por 11 mil servidores. Usando um protocolo descentralizado, cada utilizador está livre de escolher um servidor (ou criar o seu próprio), e continuar a ter acesso aos conteúdos de qualquer outro utilizador em qualquer outro servidor.

O ano passado o Mastodon já tinha passado por uma falha crítica de segurança, o TootRoot, que permitia assumir o controlo de servidores com uma mensagem.