Spamwelle im Fediverse: Discord unternimmt nichts, Mastodon bekommt einen Schutz
Eine Spamwelle gegen besonders große User auf Mastodon hat Schwächen des Fediverse offengelegt. Organisiert wurde sie auf Discord, wo nichts unternommen wird.
(Bild: davide bonaldo/Shutterstock.com)
Obwohl die jüngste Spamwelle im sozialen Netzwerk Fediverse und vor allem bei Mastodon maßgeblich auf Discord organisiert und mit dort verfügbaren Werkzeugen ausgeführt wurde, hat der Messaging-Dienst bislang nicht reagiert. Das berichtet TechCrunch unter Berufung auf eine Software-Entwicklerin, die Discord kontaktiert hat, um eine Sperrung zu erreichen. Der vor allem übers Wochenende massenhaft versendete Spam dürfte Admins von Instanzen im Fediverse wegen des damit verbundenen Traffics und der Serverkosten viel Geld gekostet haben, hat sie gegenüber Discord beklagt. Die einzige Verbindung zwischen den Nachrichten sei ein Discord-Server, der weiterhin online ist. Bei Mastodon wird derweil an einem Gegenmittel gearbeitet.
Charakteristisch für die Spamwelle war die automatisierte Einrichtung neuer Accounts auf kleinen Mastodon-Instanzen, um von dort aus zahlreiche User mit Benachrichtigungen zu überfluten. Dabei hat man ausgenutzt, dass auf vielen Instanzen eine Registrierung ohne Überprüfung und sogar ohne ein Captcha möglich ist. Waren die Verantwortlichen nicht aufmerksam, wurden diese Instanzen dann regelrecht überrannt. Hintergrund war offenbar eine Auseinandersetzung zwischen japanischen Jugendlichen, die nur zeigen wollten, wozu sie imstande sind, ohne sich der Folgen bewusst zu sein oder explizit etwas gegen Mastodon oder das Fediverse zu haben.
Laut verschiedenen Erfahrungsberichten im Fediverse liefen die Angriffe vollautomatisch ab. TechCrunch zitiert nun die Entwicklerin Emelia Smith mit der Zusatzinformation, dass dafür Bots genutzt wurden, die tief mit Discord verzahnt waren. Die haben demnach alles erledigt – um den Angriff voranzutreiben, war demnach ab einem gewissen Punkt überhaupt kein Spezialwissen mehr nötig. Ein Statement von Discord gegenüber TechCrunch legt nahe, dass die Vorgehensweise gegen die Nutzungsbedingungen des Messaging-Dienstes verstößt, aber die Plattform hat lediglich zugesichert, die Situation "im Auge zu behalten". Der verantwortliche Server sei weiterhin online.
Dezentralität als Nachteil
Das Team um Mastodon-Chefentwickler Eugen Rochko hat derweil nur begrenzte Möglichkeiten, gegen den Spam vorzugehen. Vor allem hat er Instanzverantwortliche aufgefordert, die Möglichkeit offener Registrierungen zu deaktivieren, oder zumindest Schutzmaßnahmen zu implementieren. Auf GitHub wurde derweil eine Änderung abgesegnet, die dafür sorgen soll, dass Mastodon-Instanzen in Zukunft automatisch offene Registrierungen deaktivieren, wenn sich Moderatoren über einen gewissen Zeitraum nicht angemeldet haben. Sobald sich das Update verbreitet hat, dürfte es eine Wiederholung dieses Szenarios verhindern.
Die Nachrichtenflut hat aber auch grundlegende Schwächen des Netzwerks offengelegt, die sich nicht so einfach beheben lassen. So könnten für künftige Angriffe automatisch immer gleich neue Instanzen eingerichtet werden. Standardmäßig wird im Fediverse Kontakt mit jeder neuen Instanz aufgenommen, Blockaden erfolgen manuell. Die Gegenwehr wäre also viel schwieriger, wenn immer neu entstehende Instanzen spammen. Leiden würden vor allem die kleinen Instanzen unter der Last des unerwünschten Traffics. Viele der freiwilligen und unbezahlten Verantwortlichen könnten dann dazu gezwungen werden aufzugeben, so eine Befürchtung.
Smith erinnert nun daran, dass das Fediverse, in dem Mastodon mit vielen anderen Diensten verbunden ist, von wahrscheinlich gerade einmal rund 100 Leuten entwickelt wird. Alle würden dafür wenig, zu wenig oder gar kein Geld bekommen, obwohl sie Software verantworten, über die mehrere Millionen Menschen miteinander vernetzt sind. Das kann nur teilweise mit Enthusiasmus aufgefangen werden. Dass es zumindest davon viel gibt, hat sich jetzt gezeigt, als Instanzverantwortliche mit großem Einsatz versucht haben, der Spamflut Herr zu werden. Viele User haben deshalb auch gar nichts davon mitbekommen, während andere regelrecht überschwemmt wurden.
(mho)