Parler, Twitter-rip-off, der fungerede som et af de vigtigste organiseringsværktøjer for de Donald Trump-fanatikere, der stormede det amerikanske Capitol den 6. januar, har stort set været offline i mere end en uge. Men selv i suspenderet animation skaber det foretrukne onlinehjem for QAnon, Proud Boys og andre elementer af den amerikanske yderste højrefløj stadig problemer.
Amazons, Apples og Googles beslutninger om at ophøre med at hoste webstedet og forbyde mobilbrugere at downloade appen har udløst skrig om Big Tech-censur. Bortset fra politik vedrørende det første ændringsforslag og internetregulering rejser den måde, hvorpå Parler spildte data på vej ud af døren, alvorlige spørgsmål om cybersikkerhed og bekymringer om, hvorvidt andre aktører på internettet har databrud i deres fremtid.
Og selv om det er umuligt at verificere uden at kigge under Parlers hætte – en opgave, der nu er umulig, da webstedet er offline – er den fremherskende fortælling, at en eller flere sikkerhedsfejl i Parler gjorde det muligt for en white-hat-hacker at downloade og arkivere alle Parlers brugerdata, kort før Amazon Web Services trak stikket ud for at hoste webstedet. Blandt de data, som offentligheden (og de retshåndhævende myndigheder) fik adgang til, var i nogle tilfælde potentielt belastende lokaliseringsdata.
Parler var afhængig af Worpress, verdens mest anvendte indholdsstyringssystem. Det har ført til spekulationer om, at WordPress var en del af fejlen, og at alle andre, der bruger WordPress, var i fare. Men ifølge en generel konsensus blandt cybersikkerhedseksperter, herunder flere, der er blevet kontaktet i forbindelse med denne artikel, skete Parlers databrud ikke blot, fordi Parler brugte WordPress. I stedet lækkede Parlers brugerdata, fordi CEO John Matze og webstedets arkitekter efterlod store fejl i Parlers API, som er forbindelsen mellem Parlers front-end og dets brugerdata.
Se også: Elon Musk giver Facebook og Mark Zuckerberg skylden for Capitol Riot
Den “fremherskende opfattelse” er, “at Parler var et forhastet, dårligt design, der blev støttet af højreorienterede investorer for at blive ret stort, før de virkelig havde bygget et solidt fundament, teknologisk set”, sagde Andrew Zolides, professor i kommunikation ved Xavier University, der underviser i kurser i digitalt design, til Observer. (Blandt Parlers investorer er den højreorienterede milliardær Rebekah Mercer, som forsøgte at udnytte højrefløjens vrede over Twitter og Facebook til at øge Parlers publikum.)
“Mens ethvert websted har sine problemer med privatlivets fred, synes Parler at være et problem med at blive for stor, for hurtigt og ikke at have evnen eller den tekniske knowhow til faktisk at forberede sig på det,” tilføjede Zolides.
I en velkommen udvikling for alle, der er bekymrede for anonymitet eller sikkerhed i almindelighed, kan andre websteder undgå Parler-fælden … forudsat at de ikke er relativt nye og små startups, der forsøger at konkurrere med etablerede giganter som Twitter og Facebook, hvilket er præcis, hvad Parler gjorde.
“Ja, Parler kunne have været bedre designet, men realistisk set er dette den slags problemer, der opstår, når man konkurrerer mod modne virksomheder, der har investeret milliarder og atter milliarder af dollars i deres produkter,” siger Joseph Steinberg, sikkerhedsekspert og forfatter til Cybersecurity for Dummies. “Du vil have svært ved at designe alt det, du ønsker, på en sikker måde.”
Google, Apple og Amazon har suspenderet den sociale netværksapp Parler. Parler blev utilgængelig i App Store, Google Play og Amazon Web Services, angiveligt som sagt utilstrækkelig kontrol over brugernes indlæg, der opfordrede til vold, angiveligt af medierne. Foto Illustration af Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Først, metoden for det påståede “hack”. Før Parler blev rykket ud af AWS, fandt en Twitter-bruger med håndtaget @donk_enby ud af, hvordan man kunne downloade webstedets brugerdata – alt dette var, sammen med alle andre meget offentlige beviser for Parler-brugere, der brød ind i Capitol, overfaldt betjente og planlagde yderligere vold, potentielt meget belastende, som Gizmodo rapporterede.
@donk_enby fik i sidste ende fat i 56 terabyte data: billeder, videoer og tekstindlæg, hvoraf mange indeholdt nogle GPS-metadata, der med sikkerhed placerede Parler-brugere i og omkring Capitol den 6. januar, herunder i sikrede områder. I det mindste nogle af disse data – 56.000 gigabyte – er blevet brugt til at identificere og pågribe deltagere i optøjer ifølge føderale affidavits, men der er intet bevis for, at de føderale myndigheder har brugt @donk_envy’s datatranche.
Men hvordan blev det gjort? Tidlige spekulationer svirrede om, at @donk_enby eller en anden hacker kan have stjålet Parler-administrationsoplysninger, hvilket ville være en ulovlig handling. Den accepterede teori er, som The Startup rapporterede og flere sikkerhedseksperter har skitseret, at Parlers egen API i stedet blev brugt mod Parler til at arkivere webstedets data – og til at gøre det hurtigt.
Parlers designere begrænsede ikke adgangen til API’et ved at kræve autentificering. Brugerne havde ikke brug for specifikke legitimationsoplysninger for at få adgang til dataene i backend. Det efterlod en enorm bagdør åben.
De fleste websteder, der er opmærksomme på grundlæggende sikkerhedsprotokoller, tillader ikke adgang til API’et uden en form for brugergodkendelse for at sikre, at anmodningen ikke er ondsindet. Som The Startup påpegede, er to almindelige autentificeringsløsninger API-nøgler og “tokens”, som begge kræver nogle gyldige legitimationsoplysninger, der også gør det muligt for webstedet at vide, hvem der har adgang til dataene.
Ingen krav om autentificering efterlod en dør på klem. Oven i købet gjorde Parlers designere sig ikke den ulejlighed at tilføje et andet forsvarslag i form af hastighedsbegrænsning – hvilket betyder, at i stedet for en dør, der stod på klem eller stod på klem, var døren helt åben.
Rate-limiting sætter et loft over, hvor mange data en bruger kan få adgang til uanset legitimationsoplysningerne. Webbrugere kan have set 429 “Too Many Request”-fejlmeddelelser ude i naturen, hvilket er et tegn på, at der er blevet banket for mange gange på døren eller forsøgt at passere den. Parler havde heller ikke dette, hvilket betød, at når der først var adgang til den usikrede backend, var @donk_enby også i stand til at arkivere Parlers data inden for 48 timer. (Mærkeligt nok, som The Startup påpegede, har Amazon Web Service en grundlæggende firewall-indstilling, som Parler tilsyneladende ikke gad at bekymre sig om.)
Endeligt tillod Parler også, at indlæg, som dets brugere troede var slettet, både var tilgængelige og let at opdage, når først nogen var inde i backenden. I kølvandet på de dødbringende optøjer opfordrede nogle Parler-brugere, der var klar over de mængder af beviser, der var tilgængelige på nettet, andre til at slette deres indlæg fra den 6. januar.
Alle indlæg i Parler fik fortløbende numre, der steg med 1. Selv når disse indlæg blev slettet af brugeren, forblev de i backend’en. @donk_enby behøvede tilsyneladende kun at skrive et meget grundlæggende script, der fandt og arkiverede hvert enkelt indlæg, et efter et. Og da Parler ikke gjorde sig den ulejlighed at fjerne geomærkede data fra fotos og videoer og indlæg, før de blev uploadet, sad disse oplysninger også der og ventede på at blive arkiveret.
Det er muligt, at andre websteder, der bruger WordPress eller anden hosting-software i det hele taget, kan have lignende sikkerhedsbrister, men de er måske heller ikke berygtede nok til, at disse sikkerhedsbrister bliver interessante for selvtægtshackere og dermed bliver brudt.
“Det er ikke ualmindeligt, at websteder har sikkerhedsfejl, nogle gange betydelige, som ikke bliver bemærket, fordi de ikke er populære nok til at tiltrække mere end simple, ofte automatiserede, forsøg på at kompromittere dem,” siger Erich Kron, en sikkerhedsekspert hos KnowBe4, et fremtrædende firma for sikkerhedsløsninger. “Når webstedet hurtigt bliver populært, øges fokus og kompleksiteten af disse forsøg, hvilket ofte fører til, at sårbarheder bliver opdaget.”
Et nyligt eksempel på dette fænomen, sagde Kron, var Zoom. Da COVID-19-pandemien gjorde alt arbejde fjernarbejde, blev Zooms hidtil uopdagede sikkerhedshuller opdaget, udnyttet og derefter hurtigt lappet. Men med Parler, da sikkerhedsleverandørerne begyndte at droppe deres tidligere klient, “efterlod det Parler sårbar på et tidspunkt, hvor de også var et mål for angribere, hacktivister og andre,” tilføjede Kron.
Parler er ikke helt død endnu. I løbet af weekenden vendte en eller anden version af Parler tilbage på de samme webservere, som er vært for andre marginale websteder, der byder hadefulde ytringer velkommen. Tirsdag aften er webstedets hjemmeside en landingsside med “tekniske vanskeligheder”; webstedets grundlægger John Matze fortalte Fox News, at webstedet planlægger at være fuldt funktionsdygtigt inden udgangen af måneden (selv om mobilbrugere sandsynligvis vil være nødt til at bruge den webbaserede version i stedet for en app). Og der er andre hjemsteder for den ekstreme højrefløj på nettet – selv om, som Zolides påpegede, “ytringsfriheds”-fokuserede fora som Gab har været mere proaktive med indholdsmoderation end Parler.
Der kan endnu komme flere detaljer frem om, præcis hvordan @donk_enby fik adgang til Parlers data, og om teorien om “åbne døre” var præcis, hvad der skete. (Og uafhængigt af spørgsmålet om cybersikkerhed er der spørgsmål om etik; brud eller hack, Parlers brugerdata blev stadig stjålet, som Steinberg sagde, og et røveri er ikke noget at fejre.)
Hvis man antager, at Parlers data blev stjålet på grund af dårligt design, så er online-historien om den 6. januar indtil videre en historie om gentagen selvinkriminering: Umaskerede oprørere, der vandrede rundt i det amerikanske Capitol, glade og åbenlyst diskuterede deres forpurrede yderligere planer og hele tiden lagde belastende beviser ud på internettet, på et websted, der ikke var forberedt på at holde disse beviser anonyme eller sikre.