【続報】【復旧済】ログアウト状態ですべての公開範囲の投稿が閲覧できる障害

ご利用者の皆様、ならびに連合先の皆様にはご迷惑おかけいたしましたこと、改めてお詫び申し上げます。
昨日まで発生していた障害について、影響範囲をご案内いたします。

・不正に閲覧可能だったコンテンツの検索エンジンへの掲載については、昨日案内申し上げた通り直接収集されることはございません。ただし誰かがコンテンツを転載していた場合、それが掲載される可能性はございます

・「/api/v1/timelines/public」APIの呼び出しのみで不正な挙動が発生しました。問題が発生したのはこのAPI呼び出し時のみに呼び出される処理であり、ストリーミングなど他のAPIで問題はございません

・不正な投稿はタイムライン上でのみ表示され、アカウントプロフィール・投稿詳細は表示できない状態でした。よって過去の投稿を確認するには、ローカルタイムラインをその時刻まで遡る必要がございます

【部分的ドメインブロック】pawoo.net

以下のドメインについて、部分的にドメインブロックを行いましたのでお知らせします。

【ドメイン】
pawoo.net

【ブロック内容】
メディアファイルを拒否

【理由】
実写児童ポルノがサーバー提供業者のルールに抵触するため

なお問題は昨日の時点で把握しておりましたが、問題のメディアファイルがkmyblueに届くには、当該投稿をしたアカウントをkmyblueのローカルユーザーからフォローする必要があり、当サーバーの連合タイムラインを確認しても問題投稿は確認できなかったため判断を留保しておりました。
ただ、今後kmyblueにも攻撃者による新規登録がある可能性が否定できないこと、また、pawoo.netの問題が広く拡散され興味を持ったローカルユーザーがkmy.blueの検索機能を通してpawoo.netの問題のアカウントや投稿を確認する可能性がございます。当サーバーのユーザーにそのようなことはないと信じておりますが、万が一のために対応させていただきました。

当サーバーから他のサーバーのブロックは、利用者の利便性を優先する観点から、政治的な意見の相違も含めできる限り行わないようにしています。
ただし、相手サーバーのユーザーが当サーバーを攻撃する、またはその可能性がある、サーバーの規約に著しく抵触しサービス継続が困難になる可能性がある場合は対応させていただいております。

「サーバーブロックに関する運営のガイドライン」でも説明をしております。
https://github.com/kmycode/mastodon/wiki/%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC%E3%83%96%E3%83%AD%E3%83%83%E3%82%AF%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E9%81%8B%E5%96%B6%E3%81%AE%E3%82%AC%E3%82%A4%E3%83%89%E3%83%A9%E3%82%A4%E3%83%B3

なお現時点でドメインブロックを行っているサーバーについては、当サーバーの概要画面をご確認ください。

BT https://kmy.blue/@official/110799673526571339

pawoo.netの部分的ドメインブロックの件に付きまして、
pawoo.netに流れております問題投稿が連合タイムライン上にあった場合は投稿のURLを添えてお知らせください。そのアカウントをフォローしているローカルアカウントを特定し、攻撃者である可能性が認められれば対応いたします。

当アナウンスで案内した障害内容について利用者よりご指摘をいただきましたので、以下の通り訂正いたします。
皆様には誤った情報を案内しましたこと、お詫びいたします。

【誤】
ログインしていない場合、連合タイムライン／リアルタイムフィードの「すべて」にて、すべての公開範囲の投稿が閲覧可能な状態でした

【正】
ログインしていない場合、リアルタイムフィードのすべてのタブにおいて、「ログインユーザーのみ」を除くすべての公開範囲の投稿（他サーバーの投稿も含む）が閲覧可能な状態でした

BT https://kmy.blue/@official/110796461527413876