Twitter-Alternative: Datenleck bei Mastodon.social

Mehrere Mastodon-Nutzer wurden kürzlich über einen "Security Incident auf Mastodon.social" informiert, dem originalen Server, der durch die Mastodon gGmbH betrieben wird. Durch eine Fehlkonfiguration konnten demnach Dritte alle Daten von files.mastodon.social abrufen.

Die meisten der dort abgelegten Dateien sind zwar ohnehin öffentlich einsehbar, darunter die Profilbilder, benutzerdefinierte Emojis, Bilder und Videos, allerdings nicht alle: Auch die von Nutzern angeforderten Datenexporte wurden hier abgelegt, in denen auch nicht-öffentlich geteilte Beiträge enthalten sind.

So sind neben den öffentlichen Beiträgen auch Direktnachrichten oder Follower-only-Posts enthalten. Dazu kommen Favoriten, Lesezeichen sowie das öffentliche Profil. Die E-Mail-Adresse und andere personenbezogene Daten seien nicht enthalten, sofern sie nicht Teil von Beiträgen gewesen seien, betonte Eugen Rochko, CEO der Mastodon gGmbH, in der E-Mail.

Zugriff von Dritten auf die Datenexporte wahrscheinlich

Demnach wurde die Fehlkonfiguration am 24. Februar bemerkt und innerhalb von 30 Minuten behoben. Vermutlich bestand sie jedoch seit dem 2. Februar. "Wir haben alle Datenexporte sofort gelöscht, um zu verhindern, dass jemand sie herunterlädt, aber wir haben Grund zu der Annahme, dass zumindest einige von ihnen von Unbefugten heruntergeladen wurden", heißt es in der E-Mail.

"Wir haben keine Protokolle über Zugriffe auf die Archive, aber da die Person, die uns über die Fehleinstellung informiert hat, keine Responsible Disclosure versucht und stattdessen öffentlich davon gesprochen hat, können wir Zugriffe leider nicht ausschließen", erklärte Rochko auf Nachfrage.de Golem.de.

Ein betroffener Nutzer berichtete davon, dass sein Datenexport vom 5. Dezember stamme, also knapp drei Monate vor der Entdeckung der Fehlkonfiguration. Rochko betonte hingegen, dass die Archive nach ihrer Erstellung nur sieben Tage lang existieren würden.

Insgesamt seien 5.000 Nutzer von Mastodon.social und weitere 1.037 von Mastodon.online betroffen, sagte Rochko. "Das Problem war ein Menschenfehler bei der Einstellung des S3-Buckets währen des Umzugs auf neue Infrastruktur." Man habe entsprechende Fehlkonfigurationen auch bei anderen Instanzen entdeckt und diese informiert, bevor man den Vorfall öffentlich gemacht habe.

"Wir entschuldigen uns aufrichtig für diesen Fehler. Wir sind dabei, die Mastodon-Software so zu ändern, dass sie sich nicht mehr auf High-Entropy-Links für die Zugriffskontrolle auf Archivmitnahmen verlässt, und wir fügen eine automatische Überprüfung in das Admin-Dashboard ein, um ähnliche Fehlkonfigurationen zu erkennen und andere Serverbetreiber darüber zu informieren", erklärte Rochko.

Nachtrag vom 18. März 2023, 13:00 Uhr

Wir haben den Artikel um Antworten von Eugen Rochko auf Nachfragen von Golem.de ergänzt.