Mastodon: Konfigurationsfehler führte zu Datenleck
Im Zuge der Erweiterung von Hardware und Software bei Mastodon war ein Archivserver mehrere Wochen für alle User einsehbar.
(Bild: Tada Images/Shutterstock.com)
Ursache eines Datenlecks bei Mastodon war kein Einbruch von außen, sondern eine unzureichende Konfiguration eines Mastodon-Servers zur Speicherung der Userdaten. Dadurch war es theoretisch jedem Nutzer des Dienstes möglich, die auf files.mastodon.social hochgeladenen Daten einzusehen. Mastodon habe den Fehler am 24. Februar entdeckt und innerhalb von 30 Minuten geschlossen. Allerdings habe das Leck schon seit Anfang Februar bestanden, da man zu der Zeit die Infrastruktur aufgerüstet habe, schreibt der Anbieter in einer E-Mail.
Datenexporte öffentlich
Normalerweise schütze Mastodon den Zugang zu Dateien unter anderem mit langen, zufällig erzeugten Dateinamen, sodass nur diejenigen auf die Dateien zugreifen können, die den Link kennen. Diesen Mechanismus habe man im Zuge des Upgrades aber umgehen können. Viele der dadurch zugänglichen Daten seien ohnehin öffentlich einsehbar.
Das gilt allerdings nicht für die von Nutzern heruntergeladenen Datenexporte, die auch nicht-öffentlich geteilte Beiträge, Direktnachrichten und Anhänge enthalten. In einer Mitteilung erklärte Mastodon, diese Archivdaten seien sofort gelöscht worden, um weitere Zugriffe darauf zu verhindern. Man habe dadurch die bereits erfolgten Zugriffe aber nicht unterbinden können.
Die zeitweise öffentlichen Datenexports auf mastodon.social enthalten das öffentliche Profil, die eigenen Favoriten und Bookmarks sowie Posts und Medienanhänge. Es seien weder E-Mail-Adressen noch andere persönliche Identifikationsdaten enthalten, versicherte Mastodon. Von den Nutzern seien keine weiteren Maßnahmen erforderlich.
(uk)
