Parler, vykrádačka Twitteru, která sloužila jako jeden z hlavních organizačních nástrojů fanatiků Donalda Trumpa, kteří 6. ledna vtrhli do amerického Kapitolu, je už více než týden z velké části offline. I v pozastavené animaci však preferovaný online domov QAnon, Proud Boys a dalších elementů americké krajní pravice stále působí potíže.
Rozhodnutí společností Amazon, Apple a Google ukončit hostování stránky a zakázat mobilním uživatelům stahování aplikace vyvolalo volání po cenzuře ze strany velkých technologií. Odhlédneme-li od politiky prvního dodatku a regulace internetu, způsob, jakým Parler na své cestě za dveře vypouštěl data, vyvolává vážné otázky týkající se kybernetické bezpečnosti a také obavy, zda i další hráči na internetu nemají v budoucnu v plánu úniky dat.
Ačkoli to není možné ověřit bez nahlédnutí pod pokličku Parleru – což je nyní nemožné, protože web je offline – převládá názor, že bezpečnostní chyba (nebo chyby) Parleru umožnila hackerovi s bílým kloboukem stáhnout a archivovat všechna uživatelská data Parleru krátce předtím, než Amazon Web Services stáhl hosting webu. Mezi údaji, k nimž měla veřejnost (a orgány činné v trestním řízení) přístup, byly v některých případech i potenciálně usvědčující údaje o poloze.
Parler spoléhal na Worpress, nejpoužívanější systém správy obsahu na světě. To vedlo ke spekulacím, že WordPress byl součástí chyby a že kdokoli další, kdo používá WordPress, byl v nebezpečí. Podle všeobecné shody odborníků na kybernetickou bezpečnost, včetně několika oslovených pro tento článek, však k úniku dat společnosti Parler nedošlo jen proto, že společnost Parler používala WordPress. Místo toho došlo k úniku uživatelských dat společnosti Parler, protože generální ředitel John Matze a architekti webu zanechali zásadní chyby v rozhraní API společnosti Parler, které je spojovacím článkem mezi front-endem společnosti Parler a jejími uživatelskými daty.
Podívejte se také: Andrew Zolides, profesor komunikace na Xavier University, který vyučuje kurzy digitálního designu, řekl Observeru: „Převládá názor“, „že Parler byl uspěchaný, špatný návrh, který podpořili pravicově orientovaní investoři, aby se stal docela velkým dříve, než skutečně vybudovali pevné základy, technologicky řečeno“. (Mezi investory společnosti Parler patří pravicová miliardářka Rebekah Mercerová, která se snažila využít pravicového hněvu na Twitter a Facebook k rozšíření publika společnosti Parler.)
„Zatímco každá webová stránka má své problémy s ochranou soukromí, u společnosti Parler to vypadá, že se stala příliš velkou, příliš rychlou a neměla schopnost nebo technické know-how, aby se na to skutečně připravila,“ dodal Zolides.
Vítanou novinkou pro všechny, kteří se obávají o anonymitu nebo bezpečnost obecně, je, že další webové stránky se mohou vyhnout pasti společnosti Parler… za předpokladu, že se nejedná o relativně nové a malé startupy, které se snaží konkurovat zavedeným gigantům, jako jsou Twitter a Facebook, což je přesně to, co společnost Parler udělala.
„Ano, Parler mohl být lépe navržen, ale realisticky řečeno, toto je problém, který se stává, když konkurujete vyspělým společnostem, které do svých produktů investovaly miliardy a miliardy dolarů,“ řekl Joseph Steinberg, bezpečnostní expert a autor knihy Cybersecurity for Dummies. „Budete mít problém navrhnout vše, co chcete, bezpečným způsobem.“
Google, Apple a Amazon pozastavily aplikaci sociální sítě Parler. Parler se stal nedostupným v App Store, Google Play a Amazon Web Services, údajně jako prý nedostatečná kontrola uživatelských příspěvků, které podporovaly násilí, údajně ze strany médií. Ilustrační foto: Pavlo Gončar/SOPA Images/LightRocket via Getty Images
Nejprve způsob údajného „hacknutí“. Než byl Parler vyřazen z AWS, uživatel Twitteru s přezdívkou @donk_enby přišel na to, jak stáhnout uživatelská data webu – to vše spolu s jakýmikoliv dalšími velmi veřejnými důkazy o tom, že uživatelé Parleru pronikali do Kapitolu, napadali policisty a plánovali další násilí, bylo potenciálně velmi usvědčující, jak uvedlo Gizmodo.
@donk_enby nakonec získal data v hodnotě 56 terabytů: fotografie, videa a textové příspěvky, z nichž mnohé obsahovaly některá metadata GPS, která pozitivně určovala, že uživatelé služby Parler se 6. ledna nacházeli v Kapitolu a jeho okolí, včetně zabezpečených oblastí. Podle federálních místopřísežných prohlášení byla přinejmenším část těchto dat – 56 000 gigabajtů – použita k identifikaci a zadržení účastníků nepokojů, ale neexistuje žádný pozitivní důkaz, že federálové použili tranši dat @donk_envy.
Ale jak to bylo provedeno? První spekulace hovořily o tom, že @donk_enby nebo jiný hacker mohl ukrást přihlašovací údaje administrátora Parleru, což by byl nezákonný čin. Uznávanou teorií je, jak uvedl The Startup a jak nastínilo několik bezpečnostních expertů, že místo toho bylo proti Parleru zneužito jeho vlastní API k archivaci dat webu – a to rychle.
Konstruktéři Parleru neomezili přístup k API tím, že by vyžadovali autentizaci. Uživatelé nepotřebovali k přístupu k datům na zadní straně specifické přihlašovací údaje. To nechalo otevřená obrovská zadní vrátka.
Většina webových stránek, které si jsou vědomy základního bezpečnostního protokolu, neumožňuje přístup k rozhraní API bez nějaké formy ověření uživatele, aby se ujistila, že požadavek není škodlivý. Jak upozornil The Startup, dvěma běžnými řešeními ověřování jsou klíče API a „tokeny“, přičemž obě tato řešení vyžadují nějaké platné pověření, které zároveň umožňují webové stránce zjistit, kdo k datům přistupuje.
Žádný požadavek na ověření nenechal otevřené dveře. Navíc se návrháři služby Parler neobtěžovali přidat druhou vrstvu obrany v podobě omezování rychlosti – to znamená, že místo pootevřených nebo ponechaných dveří byly dveře dokořán.
Omezování rychlosti omezuje, k jakému množství dat může uživatel přistupovat bez ohledu na pověření. Uživatelé webu mohli ve volné přírodě vidět 429 chybových hlášení „Too Many Request“, což je známka toho, že na dveře bylo zaklepáno nebo se jimi pokusilo projít příliš mnoho lidí. Ani to se u společnosti Parler nestalo, což znamenalo, že jakmile byl nezabezpečený backend zpřístupněn, mohl @donk_enby do 48 hodin archivovat i data společnosti Parler. (Kupodivu, jak upozornil The Startup, Amazon Web Service má základní možnost firewallu, se kterou se Parler zřejmě neobtěžoval.)
Nakonec Parler také umožnil, aby příspěvky, o kterých se jeho uživatelé domnívali, že byly smazány, byly dostupné a zároveň snadno objevené, jakmile se někdo dostal do backendu. Po smrtících nepokojích někteří uživatelé Parleru, vědomi si spousty důkazů dostupných na webu, nabádali ostatní, aby své příspěvky z 6. ledna smazali.
Všem příspěvkům Parleru byla přidělena pořadová čísla, která se zvyšovala o 1. I když tyto příspěvky uživatel smazal, zůstaly na backendu. @donk_enby zřejmě potřeboval napsat pouze velmi jednoduchý skript, který našel a archivoval jednotlivé příspěvky, jeden po druhém. A protože se Parler neobtěžoval odstranit geograficky označené údaje z fotografií a videí a příspěvků před jejich nahráním, tyto informace tam také ležely a čekaly na archivaci.
Je možné, že podobné bezpečnostní chyby mají i jiné webové stránky, které používají WordPress nebo vůbec jiný hostingový software, ale také nemusí být natolik nechvalně známé, aby se tyto bezpečnostní chyby staly předmětem zájmu bdělých hackerů a byly tak prolomeny.
„Není neobvyklé, že webové stránky mají bezpečnostní chyby, někdy i významné, které zůstávají nepovšimnuty, protože nejsou dostatečně populární na to, aby přilákaly více než jednoduché, často automatizované, pokusy o jejich kompromitaci,“ řekl Erich Kron, bezpečnostní expert ze společnosti KnowBe4, která je významnou firmou v oblasti bezpečnostních řešení. „Když se stránka stane rychle populární, zaměření a složitost těchto testů se zvýší, což často vede k odhalení zranitelností.“
Jedním z nedávných příkladů tohoto jevu byl podle Krona Zoom. Když pandemie COVID-19 donutila všechny pracovat na dálku, byly objeveny, zneužity a následně rychle opraveny dříve nezjištěné bezpečnostní chyby služby Zoom. Ale v případě Parleru, když se dodavatelé zabezpečení začali zbavovat svého někdejšího klienta, „zanechalo to Parler zranitelný v době, kdy byl také cílem útočníků, hacktivistů a dalších,“ dodal Kron.
Parler ještě není úplně mrtvý. O víkendu se určitá verze Parleru vrátila na stejné webové servery, které hostují jiné okrajové stránky vítající nenávistné projevy. Od úterního večera je domovskou stránkou webu vstupní stránka s „technickými potížemi“; zakladatel webu John Matze řekl Fox News, že web plánuje být plně funkční do konce měsíce (i když uživatelé mobilních zařízení budou pravděpodobně muset místo aplikace používat webovou verzi). A existují i další domovy pro online krajní pravici – ačkoli, jak podotkl Zolides, fóra zaměřená na „svobodu slova“, jako je Gab, jsou v moderování obsahu aktivnější než Parler.
Možná se ještě objeví další podrobnosti o tom, jak přesně @donk_enby získal přístup k datům Parleru a zda šlo přesně o teorii „otevřených dveří“. (A od otázky kybernetické bezpečnosti stojí odděleně otázky etiky; narušení nebo hacknutí, data uživatelů Parleru byla stále ukradena, jak řekl Steinberg, a loupež není nic, co by se mělo oslavovat.)
Předpokládáme-li, že Parlerova data byla zneužita špatným úmyslem, je internetový příběh z 6. ledna prozatím příběhem opakovaného sebeobviňování: nemaskovaní výtržníci se potulovali po americkém Kapitolu, radostně a otevřeně diskutovali o svých zmařených dalších plánech a po celou dobu zveřejňovali usvědčující důkazy na internetu, a to na webové stránce, která nebyla připravena tyto důkazy udržet v anonymitě ani v bezpečí.