El fediverse, conocido como la web social abierta que incluye plataformas como Mastodon, Threads de Meta y Pixelfed, está intensificando sus esfuerzos de seguridad. El miércoles, una organización sin fines de lucro dedicada a la gobernanza de proyectos de código abierto, la Nivenly Foundation, anunció la creación de un nuevo fondo de seguridad destinado a compensar a aquellos que revelen de manera responsable vulnerabilidades de seguridad que afecten a aplicaciones y servicios del fediverso.
A pesar de que todos los software pueden presentar problemas de seguridad, Mastodon, una alternativa descentralizada de código abierto a X, ha registrado numerosos errores en el pasado, lo cual subraya la necesidad de este programa. Un problema adicional es que muchos servidores son gestionados por operadores independientes que carecen de formación en seguridad o en las mejores prácticas.
La Nivenly Foundation ya ha asistido a algunos proyectos del fediverse en la implementación de sus procesos básicos para la notificación de vulnerabilidades y ahora busca ofrecer pequeñas compensaciones a quienes revelen responsablemente otras vulnerabilidades que aún puedan estar presentes.
Las compensaciones ascenderán a $250 para vulnerabilidades con un puntaje de severidad (CVSS) de 7.0-8.9 y $500 para vulnerabilidades más críticas con un puntaje de 9.0 o mayor. Los fondos para estos pagos provienen de la fundación, que está respaldada por miembros individuales y otras organizaciones comerciales.
La validez de las vulnerabilidades será confirmada por los líderes de los proyectos del fediverse, así como por bases de datos públicas de divulgación de vulnerabilidades (CVE).
El fondo se encuentra actualmente en una fase de prueba limitada tras el descubrimiento de una vulnerabilidad de seguridad en Pixelfed, la alternativa descentralizada de Instagram. La colaboradora de código abierto Emelia Smith identificó el problema y la Fundación Nivenly le pagó para solucionarlo.
Un problema más reciente surgió cuando el creador de Pixelfed, Daniel Supernault, hizo públicos los detalles de una vulnerabilidad antes de que los operadores de servidores tuvieran la oportunidad de actualizar, dejando expuesto al fediverse a potenciales ataques. Supernault ya ha pedido disculpas públicamente por su forma de manejar esta situación que afectó cuentas privadas.
“Parte del programa es… la educación para los líderes de proyectos, ayudándoles a entender por qué son importantes las prácticas de divulgación responsable”, comentó Smith. “Encontramos varios proyectos que simplemente indicaban ‘reportar vulnerabilidades de seguridad en nuestro rastreador público de problemas’, lo cual no es seguro, ya que cualquier actor malicioso que esté observando ese repositorio podría atacar instancias de ese software”, agregó.
Normalmente, la práctica común es divulgar información mínima sobre una vulnerabilidad, brindando tiempo a los operadores de servidores para actualizar. Sin embargo, esto requiere que los líderes de proyectos entiendan las mejores prácticas de seguridad.
En el caso de la problemática de Pixelfed, el servidor Hachyderm de Mastodon, que cuenta con más de 9,500 miembros, decidió desconectarse de otros servidores de Pixelfed que no habían sido actualizados para proteger a sus usuarios. Con este nuevo programa diseñado para seguir las mejores prácticas en la divulgación de vulnerabilidades, es probable que la necesidad de desconectarse para proteger a los usuarios se vuelva menos común.
