O fediverso, também conhecido como a web social aberta que inclui o Mastodon, Meta’s Threads, Pixelfed e outros aplicativos, está intensificando sua segurança. Na quarta-feira, uma organização sem fins lucrativos focada em trazer governança para projetos de código aberto, a Fundação Nivenly, anunciou o lançamento de um novo fundo de segurança que irá recompensar aqueles que divulgam de maneira responsável vulnerabilidades de segurança que afetam aplicativos e serviços do fediverso.
Embora todo software possa ter problemas de segurança, o Mastodon – uma alternativa de código aberto e descentralizada ao X – consertou inúmeros bugs ao longo dos anos, levando à necessidade de um programa como esse. Outro problema encontrado no fediverso é que muitos servidores são operados por operadores independentes que não necessariamente têm formação em segurança ou compreendem as melhores práticas.
Já a Fundação Nivenly ajudou alguns projetos do fediverso a estabelecer seu processo básico de relatório de vulnerabilidades de segurança e agora está procurando distribuir pequenas recompensas para quem divulgar de forma responsável outras vulnerabilidades de segurança que ainda podem estar presentes.
As recompensas totalizarão US$ 250 para vulnerabilidades com uma pontuação de gravidade de vulnerabilidade (conhecida como CVSS) de 7.0-8.9 e US$ 500 para vulnerabilidades mais críticas com uma pontuação CVSS de 9.0 ou superior. Os fundos para as recompensas vêm da fundação, que é apoiada diretamente por membros que incluem indivíduos, bem como outras organizações comerciais.
As vulnerabilidades são validadas por aceitação dos líderes de projeto do fediverso, bem como registros públicos em bancos de dados de divulgação de vulnerabilidades (CVE).
O fundo está atualmente em um teste limitado depois da descoberta de uma vulnerabilidade de segurança na alternativa descentralizada do Instagram, Pixelfed. A colaboradora de código aberto Emelia Smith se deparou com o problema e a Fundação Nivenly a pagou para corrigi-lo, ela explica.
Um problema mais recente surgiu quando o criador do Pixelfed, Daniel Supernault, tornou públicos os detalhes de uma vulnerabilidade antes que os operadores de servidor tivessem a chance de atualizar, o que teria deixado o fediverso vulnerável a pessoas mal-intencionadas, diz ela. (Supernault já se desculpou publicamente por sua abordagem do problema que afetou contas privadas.)
“Uma parte do programa é... educação para os líderes de projeto, ajudando-os a entender por que práticas de divulgação responsável de vulnerabilidades de segurança são importantes”, disse Smith ao TechCrunch. “Nos deparamos com vários projetos que simplesmente diziam 'registre vulnerabilidades de segurança em nosso rastreador de problemas público', o que absolutamente não é seguro, pois qualquer ator malicioso que observar esse repositório agora seria capaz de atacar instâncias desse software”, acrescentou.
Normalmente, a prática comum é divulgar informações mínimas sobre uma vulnerabilidade, dando tempo aos operadores de servidor para atualizar, disse Smith. No entanto, isso requer que os líderes de projeto entendam as melhores práticas de segurança.
No caso do problema do Pixelfed, por exemplo, o servidor Mastodon Hachyderm, que tem mais de 9.500 membros, decidiu que precisava se desfederar (ou desconectar-se) de outros servidores Pixelfed que não haviam sido atualizados para proteger seus usuários.
Com esse novo programa projetado para seguir as melhores práticas em torno da divulgação de vulnerabilidades, a necessidade de se desfederar para proteger os usuários pode se tornar menos comum.
Bem-vindo ao fediverso: Seu guia para Mastodon, Threads, Bluesky e muito mais
Alternativa descentralizada do Instagram Pixelfed lança aplicativos móveis
