安全研究员Lenin Alevski警告说，社交媒体平台Mastodon的多个实例容易受到系统配置问题的影响。前Twitter用户因埃隆·马斯克(Elon Musk)接管Twitter所带来的剧变而纷纷离去，这让Mastodon成为了人们关注的焦点。它已成为许多信息安全社区的首选聚会场所，他们已将推特转为平台上的“嘟嘟”。然而，Alevski和他之前的PortSwigger的Gareth Heyes等安全研究人员发现Mastodon缺乏安全成熟度。更具体地说，Alevski最近发现Mastodon的infosec.exchange实例被上传到未能应用访问控制的存储桶。技术博客文章中解释了这一缺点，使攻击者有可能访问用户的个人资料图片或任何其他上传的数据，并将其替换为任意内容。

该漏洞还意味着可以从服务器下载文件——包括通过直接消息共享的文件（Mastodon上的DM，与Twitter不同，它省略了加密）。破坏性攻击，包括删除服务器上的文件，也是可能的。

在Alevski向管理Mastodon的infosec.exchange实例的系统管理员Jerry Bell报告该问题后，安全漏洞为各种恶作剧和拖钓打开了大门。

Bell说：“这是对存储桶的访问策略配置错误。我没有从默认访问路径中删除写访问权限。”

在问题解决后发布的博客文章中，Alevski补充说“对象存储级别的系统配置错误会破坏Mastodon拥有的任何安全机制”。

Alevski最后警告说，infosec.exchange远非Mastodon生态系统中系统配置问题的孤立案例。安全研究人员继续发现其他Mastodon实例上的配置错误。

“我在其中几个[其他实例]中发现了类似的问题，并且我[已经]报告了这些漏洞，”Alevski说。