Bei Mastodon hat es ein empfindliches Datenleck gegeben. Betroffen sei nach Angaben der Open-Source-Lösung mit Twitter-Anleihen die Instanz Mastodon.social. Offenbar sollen sich Dritte sogar Zugang zu Direktnachrichten verschafft haben.
Fehlkonfiguration führte bei Mastodon zu Datenleck
Wer sich in der Instanz Mastodon.social aufhält, hat womöglich in den letzten Tagen eine Nachricht des Dienstes erhalten. So wurden Betroffene eines nun bekannt gewordenen Datenlecks über einen „Security Incident auf Mastodon.social“ hingewiesen. Hierbei sollen Dritte wohl auch Zugriff auf Direktnachrichten oder Posts, die exklusiv an Follower adressiert sind, gehabt haben. Doch der CEO Eugen Rochko findet in seiner Warn-Mail auch beruhigende Worte. So sei es derzeit wohl ausgeschlossen, dass auch persönliche Daten von Nutzern beim Datenleck betroffen sind. Ursache für das Leck sei wohl eine Fehlkonfiguration. Diese hat es Dritten ermöglicht, problemlos die auf im Instanz-Archiv befindlichen Daten zuzugreifen.
- Neue Twitter-Regeln verbieten Verweise auf Mastodon, Facebook oder Linktree
- Mastodon: Eine gute Alternative zu Twitter?
Datenleck bestand mindestens drei Monate
Laut Angaben des Dienstes habe man am 24. Februar registriert, dass die Fehlkonfiguration besteht. Im Anschluss daran soll es nur eine halbe Stunde gedauert haben, bis der Fehler behoben wurde. Allerdings stellt sich die Frage, wie lange Kriminelle Zugriff auf die offenliegenden Daten hatten. Der Dienst selbst vermutet, dass es seit dem 2. Februar bestand. Ein User des sozialen Netzwerks gibt allerdings eine andere Auskunft. So berichtet dieser, dass ein Export seiner Daten bereits am 5. Dezember stattgefunden habe. Sollte dies so sein, dann hätte das Leck über drei Monate bestanden. Dieser Angabe widersprach Rochko allerdings.
Weiterhin gab der CEO die genaue Zahl der Betroffenen heraus. Addiert man die Nutzer von Mastodon.social mit denen der ebenfalls betroffenen Instanz Mastodon.online kommt man auf über 6.000 User. Außerdem sei es menschliches Versagen gewesen, das zur Fehlkonfiguration geführt hat. Die falsche Einstellung fand man wohl sogleich auch in anderen Kanälen des Dienstes. Natürlich wurde sie auch dort schleunigst korrigiert. Gegenüber den Kollegen von Golem.de sagte Rochko, dass man in den Archiven keine Hinweise auf Datenzugriffe finden konnte. Dennoch lässt sich ein Zugriff nicht mit absoluter Sicherheit ausschließen.
