لم يتخذ Discord أي إجراء ضد الخادم الذي نسق هجمات البريد العشوائي المكلفة على Mastodon
خلال عطلة نهاية الأسبوع، استهدف المتسللون شبكات التواصل الاجتماعي الفيدرالية مثل Mastodon لتنفيذ هجمات البريد العشوائي المستمرة التي تم تنظيمها على Discord، وتم إجراؤها باستخدام تطبيقات Discord. لكن Discord لم تقم بعد بإزالة الخادم الذي يتم فيه تسهيل الهجمات، ولم يتمكن قادة مجتمع Mastodon من الوصول إلى أي شخص في الشركة.
قالت إميليا سميث، مهندسة البرمجيات التي تعمل بانتظام على قضايا الثقة والسلامة في fediverse، وهي شبكة من المنصات الاجتماعية اللامركزية المبنية على بروتوكول ActivityPub: “تم تنسيق الهجمات من خلال Discord، وتم توزيع البرنامج من خلال Discord”. “لقد كانوا يستخدمون الروبوتات التي تتكامل مباشرة مع Discord، بحيث لا يحتاج المستخدم حتى إلى إعداد أي خوادم أو أي شيء من هذا القبيل، لأنه يمكنهم فقط تشغيل هذا الروبوت مباشرة من Discord من أجل تنفيذ الهجوم.”
حاول سميث الاتصال بـDiscord عبر القنوات الرسمية في 17 فبراير، لكنه لم يتلق سوى ردود نموذجية فقط. أخبرت TechCrunch أنه على الرغم من أن Discord لديه آليات للإبلاغ عن المستخدمين الفرديين أو الرسائل، إلا أنه يفتقر إلى طريقة واضحة للإبلاغ عن الخوادم بأكملها.
كتب سميث إلى Discord Trust & Safety في رسالة بريد إلكتروني اطلعت عليها TechCrunch: “لقد رأينا هذا يكلف مسؤولي الخوادم في Mastodon وMisskey وآخرين مئات أو آلاف الدولارات من تكاليف البنية التحتية، والحرمان الشامل من الخدمة”. “يبدو أن الرابط المشترك الوحيد هو خادم الخلاف هذا.”
في بيان لـ TechCrunch، قال متحدث باسم Discord: “تحظر شروط خدمة Discord على وجه التحديد إساءة استخدام النظام الأساسي، والتي تشير إلى الأنشطة التي تعطل أو تغير تجربة مستخدمي Discord، بما في ذلك البريد العشوائي أو إرسال رسائل أو تفاعلات مجمعة غير مرغوب فيها”. على الرغم من أن Discord تقول إنها تراقب الوضع، إلا أن الخادم المسؤول عن هجمات البريد العشوائي يظل متصلاً بالإنترنت.
قال المؤسس والرئيس التنفيذي لشركة Mastodon، يوجين روشكو، في منشور له، إن هذه الهجمات أكثر صعوبة في الإشراف عليها من الهجمات السابقة، لأنها تستهدف عمدًا خوادم أصغر، والتي غالبًا ما تحتوي على أدوات إشراف أقل. توفر بعض هذه الخوادم تسجيلًا مفتوحًا، مما يتيح إمكانية بدء حسابات جديدة بسرعة ونشر البريد العشوائي. وكما لاحظ سميث، فإن هجمات البريد العشوائي الجماعية هذه يمكن أن تؤدي إلى ارتفاع تكاليف الخادم، مما يؤدي إلى تحمل المسؤولين لفواتير غير متوقعة.
وفقًا لتقارير Mastodon، فقد نشأ هذا الهجوم الآلي بالكامل بسبب صراع بين المراهقين على خادمين مختلفين للغة اليابانية Discord.
وقال سميث لـ TechCrunch: “إنه هذا النوع من السلوك الاجتماعي الغريب، حيث يتصرف هؤلاء الأطفال بشكل أساسي مثل المتنمرين في ساحة المدرسة”. وتعتقد أنهم نفذوا الهجوم لمجرد إظهار قدرتهم على ذلك، وليس لأن لديهم أي سوء نية تجاه هذه الشبكات الاجتماعية.
وقالت: “إنهم يتمتعون بقدرات تكنولوجية أعلى بكثير مما هم عليه عاطفياً أو نفسياً”.
نشر كيفن بومونت، خبير الأمن السيبراني، على Mastodon أن هذا الحادث يذكرنا بهجوم مماثل، ولكنه أكبر بكثير من عام 2016، حيث قام ثلاثة طلاب جامعيين بإنشاء شبكة روبوت لكسب المال من لعبة Minecraft. لكن ما بنوه كان قويًا جدًا لدرجة أنه كان قادرًا على الاستيلاء على مساحات كبيرة من الإنترنت، بما في ذلك مواقع مثل Reddit وSpotify.
“اضطررت إلى تقديم برنامج إذاعي على محطة NPR حول هذا الموضوع، وظل المذيع يسألني عما إذا كان هو بوتين – وكنت أقول لا، إنه مراهقون. “المراهقون المستمرون المتقدمون” ، نشر بومونت.
باعتبارها شبكة تواصل اجتماعي لا مركزية، فإن فريق Mastodon غير قادر على التدخل في مشكلات الإشراف على الخوادم التي لا يملكونها، وهو ما يمثل نقطة ضعف بالنسبة للاتحاد الفيدرالي. على الخوادم التي تتم صيانتها والإشراف عليها بشكل نشط، يقدم Mastodon أدوات لمنع تسجيل الحساب الآلي، مثل اختبار CAPTCHA.
في حين أن نموذج Mastodon غير الربحي مفتوح المصدر يمنح المستخدمين المزيد من الملكية لتجاربهم في وسائل التواصل الاجتماعي، فإنه يحد أيضًا من قدرة الشركة على توظيف المزيد من المطورين. تتم إدارة معظم شبكات التواصل الاجتماعي بواسطة متطوعين، مثل سميث نفسها.
وقالت: “أقدر أن النظام الفيدرالي بأكمله قد تم تطويره على أيدي 100 مهندس، في أحسن الأحوال”. “جميعهم إما يتقاضون أجورًا منخفضة، أو يتقاضون أجورًا منخفضة، أو لا يتقاضون أجورًا، ويحاولون إنشاء برامج، وفي الوقت نفسه، يدعمون قاعدة المستخدمين النشطة شهريًا في نطاق 1.1 مليون إلى 7.4 مليون.”
