Aktivt utnyttjad sårbarhet i Reddit-utmanaren

Det populära Activitypub-protokollet ligger till grund för flera nya sociala medier. Twitter-utmanaren Mastodon är ett exempel. Reddit-utmanarna Lemmy och Kbin är två andra exempel. Alla dessa Activitypub-baserade tjänster är federerade, vilket innebär att det finns en mängd olika instanser (servrar) som driver samma tjänst. Mastodon-användare kan kommunicera med varandra även om de är registrerade på olika Mastodon-instanser. Lemmy-användare på en Lemmy-instans kan diskutera ämnen som driftas på en annan Lemmy-instans. Kbin-användare kan rent av kommunicera med både Mastodon- och Lemmy-användare, även om Mastodon fungerar likt Twitter och Lemmy fungerar likt Reddit.

Till skillnad från Mastodon är både Lemmy och Kbin kvar i utvecklings­stadiet. Lemmy och Kbin har trots det börjat användas som om de vore skarpa tjänster. Enligt Fediverse-bevakarsajten FediDB har Lemmy redan drygt 1 000 aktiva instanser och 70 000 månatligt aktiva användare. Kbin har drygt 90 aktiva instanser och nästan 60 000 månatligt aktiva användare.

Igår natt såg vi nackdelen med att använda tjänster som inte är färdig­utvecklade. Det hade upptäckts en allvarlig sårbarhet i Lemmy, vilken utnyttjades av angripare för att skaffa sig administratörs­rättigheter på flera Lemmy-instanser. Bland annat drabbades världens största Lemmy-instans, Lemmy World. Den fick sitt namn utbytt mot ”Israel” och sin framsida prydd av en bild med texten ”just raped a kid in the woods”.

Användarna på de berörda Lemmy-instanserna bör vara medvetna om angriparna kan ha fått åtkomst till deras sparade information, inklusive direkt­meddelanden (se ”Recap of the Lemmy XSS incident & steps for mitigation”). Lyckligtvis är det officiella Lemmy-gränssnittet tydligt med att direktmeddelanden därigenom är osäkra. Ovanför direktmeddelande­fältet står det ”Varning: Privata meddelanden på Lemmy är inte säkra. Vänligen skapa ett konto på Element.io för att skicka säkra meddelanden.”

Incidenten är en bra påminnelse om fyra saker.

1. Det är riskfyllt att använda applikationer och tjänster som är i betastadiet.
2. Uppmaningen i gårdagens artikel om att använda e-postalias­tjänster såsom Simpelogin är värd att ta på allvar.
3. Direktmeddelanden är aldrig säkra om de inte är totalsträcks­krypterade. Använd Signal för att kommunicera med vänner och bekanta. Använd Matrix (Element.io) för att kommunicera direkt med folk som du möter i forum på nätet.
4. Många Activitypub-baserade instanser drivs av entusiaster, inte av storföretag med hela avdelningar som arbetar med dataskydds- och IT-säkerhetsfrågor. När du registrerar dig på en Lemmy-, Kbin- eller Mastodon-instans lägger du din information i händerna på administratören som driver instansen.

De drabbade användarna behöver inte vidta några åtgärder. Administratörerna som driver världens 1 000 Lemmy-servrar måste däremot uppdatera mjukvaran, utreda eventuella personuppgifts­läckor och rapportera personuppgifts­incidenten till landets dataskydds­myndighet. I Sverige ska incidenten anmälas till Integritetsskydds­myndigheten inom 72 timmar. Administratörer kan få hjälp och råd i Lemmy-tråden ”Lemmy.world (and some others) were hacked”.

Medan Lemmy- och Kbin-projekten fortfarande befinner sig i betastadiet har Mastodon­projektet vuxit upp och blivit en reell utmanare till Twitter. Mastodon har dessutom precis genomgått en tredjeparts­granskning av Cure53 (betald av Mozilla). Då upptäcktes flera sårbarheter, vilka nu är åtgärdade. Du hittar både mig (@karlemilnikka­@mastodon.social) och Nikka Systems (@nikkasystemsSE­@mastodon.social) tillsammans med 1,7 miljoner månatligt aktiva användare på Mastodon. Mastodon­instansen som vi har valt drivs av företaget bakom Mastodon och är fri från reklam.