Die Instanz Mastodon.social hat seine Nutzer über ein Datenleck informiert. Demnach sollen Dritte auf Direktnachrichten zugegriffen haben.

Mehrere Mastodon-Nutzer wurden kürzlich über einen "Security Incident auf Mastodon.social" informiert, dem originalen Server, der durch die Mastodon gGmbH betrieben wird. Durch eine Fehlkonfiguration konnten demnach Dritte alle Daten von files.mastodon.social abrufen.

Die meisten der dort abgelegten Dateien sind zwar ohnehin öffentlich einsehbar, darunter die Profilbilder, benutzerdefinierte Emojis, Bilder und Videos, allerdings nicht alle: Auch die von Nutzern angeforderten Datenexporte wurden hier abgelegt, in denen auch nicht-öffentlich geteilte Beiträge enthalten sind.

So sind neben den öffentlichen Beiträgen auch Direktnachrichten oder Follower-only-Posts enthalten. Dazu kommen Favoriten, Lesezeichen sowie das öffentliche Profil. Die E-Mail-Adresse und andere personenbezogene Daten seien nicht enthalten, sofern sie nicht Teil von Beiträgen gewesen seien, betonte Eugen Rochko, CEO der Mastodon gGmbH, in der E-Mail.