يسلط هجوم البريد العشوائي على Mastodon المنافس لـ Twitter/X الضوء على نقاط الضعف في “Fediverse”.

يسلط هجوم البريد العشوائي الذي أثر على تطبيقات Mastodon وMiskey وغيرها من التطبيقات المنافسة لـ X مفتوحة المصدر، الضوء على مدى تعرض شبكة الويب الاجتماعية اللامركزية، والمعروفة أيضًا باسم Fediverse، لإساءة الاستخدام. على مدار الأيام القليلة الماضية، استهدف المهاجمون خوادم Mastodon الأصغر حجمًا، مستفيدين من التسجيلات المفتوحة لأتمتة إنشاء حسابات البريد العشوائي. أكد يوجين روشكو، المؤسس والرئيس التنفيذي لشركة Mastodon، الهجوم في منشور خلال عطلة نهاية الأسبوع، مضيفًا أنه يجب على مسؤولي خادم Mastodon تحويل التسجيل إلى وضع الموافقة وحظر موفري البريد الإلكتروني للتخلص من المشكلة للمساعدة في مكافحة المشكلة.

على الرغم من أن هذا ليس أول هجوم بريد عشوائي يؤثر على Fediverse، إلا أن Rochko يشير إلى أنه تم استهداف الخوادم الأكبر حجمًا فقط مثل Mastodon.social سابقًا. نظرًا لأن هذا الخادم يتم تشغيله بواسطة فريق Mastodon الخاص، فقد تمكنوا من التخفيف من تلك الهجمات بأنفسهم. الأمر المختلف هذه المرة هو أن مرسلي البريد العشوائي استهدفوا الخوادم الأصغر حجمًا وحتى المهجورة التي تقدم تسجيلًا مفتوحًا، مما يسمح للجهات الفاعلة السيئة بإنشاء حسابات بسرعة وإنشاء بريد عشوائي.

هذا الهجوم بالذات، والذي كان مؤتمتًا بالكامل عندما علم المهاجمون أنهم يستطيعون كتابة رسائل غير مرغوب فيها، كان سببه نزاع بين الفصائل على Discord، حيث كان أحد الطرفين يحاول حظر خادم Discord الخاص بالجانب الآخر، وفقًا لتقارير Mastodon. العديد من الأهداف الأخرى لمرسلي البريد العشوائي لم تكن Mastodon وحدها – بل كانت تستهدف Misskey أيضًا. (Miskey عبارة عن منصة تدوين لامركزية مفتوحة المصدر تستخدم بروتوكول ActivityPub، مثل Mastodon وPixelfed وPeerTube وغيرها، مما يسمح لمستخدميها بالتفاعل مع مستخدمي منصات التواصل الاجتماعي الموحدة الأخرى.)

سلط هجوم البريد العشوائي الضوء على إحدى نقاط الضعف التي تأتي مع كيفية هيكلة Fediverse. Mastodon هو برنامج مفتوح المصدر يمكن لأي شخص تثبيته على الخادم الخاص به، مما يؤدي بشكل أساسي إلى إنشاء مثيله الخاص، أو العقدة، التي تتصل بخوادم الشبكات الاجتماعية الموحدة الأخرى، والمدعومة ببروتوكول ActivityPub.

نظرًا لأن خوادم Mastodon الأصغر غالبًا ما تكون عبارة عن مشاريع هواة يديرها المتحمسون، فقد كانت عرضة لهذا النوع من الهجمات. إذا لم يكن مسؤولو الخادم يهتمون بخوادمهم بشكل يومي وعرضوا تسجيلات مفتوحة، فمن المحتمل أن يكونوا ضحايا البريد العشوائي.

أو كما لاحظ أحد مسؤولي الخادم، @Chris@mastodon.cosmicnation.co، “تم تذكير بعض مسؤولي المثيلات بأن لديهم مثيلًا. وعلمنا أيضًا أن هناك الكثير من الحالات المهجورة وبابها مفتوح على مصراعيه للتسجيل دون موافقة.”

على مدار الأيام القليلة الماضية، عمل مسؤولو الخادم معًا لإنشاء قوائم مستمرة للمثيلات المهجورة التي يمكن للمسؤولين الآخرين استخدامها كأساس لقائمة الحظر لحماية مستخدميهم من هجمات البريد العشوائي. تم إغلاق العديد من الخوادم ببساطة لأن مسؤوليها قرروا أنه سيكون من الأسهل انتظار انتهاء الهجوم أو التخلي عن Mastodon تمامًا.

أصدر تطبيق Mastodon الشهير التابع لجهة خارجية Ivory، من Tapbots، تحديثًا طارئًا يتضمن مرشحًا مخصصًا يُطلق عليه اسم “البريد العشوائي المحتمل”، في علامة التبويب “تصفية” والذي سيسمح للمستخدمين بتجاهل إشارات البريد العشوائي. وقالت الشركة إنه يمكن للمستخدمين المتأثرين تشغيل هذا الفلتر لالتقاط معظم الرسائل غير المرغوب فيها، لكنهم لم يتمكنوا من إيقاف إشعارات البريد العشوائي.

ويبدو أن الهجوم قد بدأ في التراجع اعتبارًا من هذا الصباح. أشار التقني والباحث تيم تشامبرز (@tchambers@indieweb.social) إلى أن اليوم هو أول يوم خلال أربعة أيام لديه أقل من 40 حسابًا غير مرغوب فيه لتعليقها على الخادم الذي يشرف عليه، على سبيل المثال.

وبينما رأى البعض أن التجربة إيجابية بالنسبة لشبكة التواصل الاجتماعي وFediverse الأوسع، إذ كشفت عن نقطة ضعف يمكن الآن مناقشتها ومعالجتها، أعرب آخرون عن غضبهم من التجربة وعدم استجابة Rochko في الساعات الأولى من الهجوم.

“هذا يدمر تجربتي في Mastodon بالنسبة لي. “هذا يجعلني أرغب في الابتعاد والاستسلام،” كتب أحد مشرفي خادم Mastodon sam@urbanists.social. وقالوا: “إن صمت يوجين المستمر بشأن المشكلة لا يساعد في حل ذلك”.

وقد طُلب من Mastodon التعليق، ولكن لم يتم تقديم تعليق على الفور.

منذ وصول Instagram Threads، وهو منافس آخر لـ Twitter/X ويخطط أيضًا للتوحيد باستخدام ActivityPub، بدأ استخدام Mastodon في الاتجاه نحو الانخفاض.

وفي أكتوبر من العام الماضي، نما موقع Mastodon ليشمل حوالي 1.8 مليون مستخدم نشط شهريًا. وبحلول الوقت الذي تم فيه إطلاق Threads علنًا، انخفض العدد إلى 1.5 مليون. اعتبارًا من الإطلاق العام لـ Bluesky هذا الشهر، وهي شبكة اجتماعية لامركزية أخرى تعتمد على بروتوكول مختلف (مما يعني أنها ليست جزءًا من نفس Fediverse، على الأقل حتى يتم بناء الجسر)، انخفض استخدام Mastodon إلى مليون مستخدم نشط شهريًا. هذا هو المكان الذي يظل فيه استخدام Mastodon اليوم، وفقًا للصفحة الرئيسية للشركة. لدى Fediverse الأوسع، والذي يتضمن Mastodon وتطبيقات أخرى، حوالي 2.9 مليون مستخدم نشط شهريًا. سيؤدي دخول Threads إلى هذا الفضاء إلى تقزم خوادم Mastodon الأخرى ويمكن أن يمنح خبرة Meta الفنية في مجالات مثل منع البريد العشوائي، لكن الكثيرين يشعرون بالقلق من أن هدف Meta النهائي سيكون الاستحواذ بشكل أساسي على Fediverse من خلال أن يصبح العميل الافتراضي الذي يختاره المستخدمون ويستخدمونه. موارد كبيرة لتوسيع نطاق اعتماد تطبيق Meta.