Parler, der Twitter-Ableger, der als eines der wichtigsten Organisationstools für die Donald-Trump-Fanatiker diente, die am 6. Januar das US-Kapitol stürmten, ist seit mehr als einer Woche weitgehend offline. Aber selbst im Ruhezustand sorgt die bevorzugte Online-Heimat von QAnon, den Proud Boys und anderen Elementen der amerikanischen extremen Rechten immer noch für Ärger.
Entscheidungen von Amazon, Apple und Google, das Hosting der Website einzustellen und mobilen Nutzern das Herunterladen der App zu verbieten, haben Rufe nach Big Tech-Zensur ausgelöst. Abgesehen von der Politik des ersten Verfassungszusatzes und der Internetregulierung wirft die Art und Weise, wie Parler auf seinem Weg nach draußen Daten ausspuckte, ernsthafte Fragen zur Cybersicherheit auf und gibt Anlass zur Sorge darüber, ob andere Akteure im Internet in Zukunft Datenverletzungen zu erwarten haben.
Auch wenn es unmöglich ist, dies zu überprüfen, ohne unter die Haube von Parler zu schauen – eine Aufgabe, die jetzt unmöglich ist, da die Website offline ist -, ist die vorherrschende Meinung, dass ein White-Hat-Hacker aufgrund einer Sicherheitslücke (oder mehrerer Sicherheitslücken) alle Benutzerdaten von Parler herunterladen und archivieren konnte, kurz bevor Amazon Web Services das Hosting der Website einstellte. Zu den Daten, auf die die Öffentlichkeit (und die Strafverfolgungsbehörden) zugreifen konnten, gehörten in einigen Fällen potenziell belastende Standortdaten.
Parler stützte sich auf Worpress, das weltweit meistgenutzte Content-Management-System. Das hat zu Spekulationen geführt, dass WordPress Teil der Schwachstelle war und dass jeder, der WordPress verwendet, in Gefahr war. Nach übereinstimmender Meinung von Cybersecurity-Experten, von denen mehrere für diesen Artikel kontaktiert wurden, geschah die Datenpanne bei Parler jedoch nicht, weil Parler WordPress verwendete. Stattdessen sind die Nutzerdaten von Parler durchgesickert, weil CEO John Matze und die Architekten der Website große Fehler in der API von Parler, der Verbindung zwischen dem Front-End von Parler und den Nutzerdaten, hinterlassen haben.
Siehe auch: Elon Musk beschuldigt Facebook und Mark Zuckerberg für den Capitol-Aufstand
Die „vorherrschende Meinung“ ist, „dass Parler ein überstürztes, schlechtes Design war, das von rechtsgerichteten Investoren gefördert wurde, um ziemlich groß zu werden, bevor sie wirklich eine solide Grundlage geschaffen hatten, technologisch gesehen“, sagte Andrew Zolides, ein Professor für Kommunikation an der Xavier University, der Kurse in digitalem Design unterrichtet, dem Observer. (Zu den Investoren von Parler gehört die rechtsgerichtete Milliardärin Rebekah Mercer, die versucht hat, aus der rechten Wut über Twitter und Facebook Kapital zu schlagen, um das Publikum von Parler zu vergrößern.)
„Jede Website hat Bedenken hinsichtlich des Datenschutzes, aber Parler scheint ein Problem damit zu haben, zu schnell zu groß zu werden und nicht die Fähigkeit oder das technische Know-how zu haben, sich darauf vorzubereiten“, so Zolides weiter.
Eine willkommene Entwicklung für alle, die sich um Anonymität oder Sicherheit im Allgemeinen sorgen, ist, dass andere Websites die Parler-Falle vermeiden können… vorausgesetzt, es handelt sich nicht um relativ neue und kleine Startups, die versuchen, mit etablierten Giganten wie Twitter und Facebook zu konkurrieren, was genau das ist, was Parler tat.
„Ja, Parler hätte besser gestaltet werden können, aber realistisch gesehen ist dies die Art von Problem, die auftritt, wenn man mit etablierten Unternehmen konkurriert, die Milliarden und Abermilliarden von Dollar in ihre Produkte investiert haben“, sagte Joseph Steinberg, ein Sicherheitsexperte und Autor von Cybersecurity for Dummies. „
Google, Apple und Amazon haben die Social-Networking-App Parler gesperrt. Parler wurde im App Store, bei Google Play und bei den Amazon Web Services nicht mehr verfügbar, da es Berichten zufolge keine ausreichende Kontrolle über Nutzerbeiträge gab, die zu Gewalt aufriefen, wie Medien berichteten. Photo Illustration by Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Zunächst zur Methode des angeblichen „Hacks“. Bevor Parler von AWS entfernt wurde, fand ein Twitter-Nutzer mit dem Handle @donk_enby heraus, wie er die Benutzerdaten der Website herunterladen konnte – was zusammen mit anderen sehr öffentlichen Beweisen für Parler-Nutzer, die in das Kapitol eindrangen, Beamte angriffen und weitere Gewalt planten, potenziell sehr belastend war, wie Gizmodo berichtete.
@donk_enby konnte schließlich Daten im Wert von 56 Terabyte ausfindig machen: Fotos, Videos und Textbeiträge, von denen viele einige GPS-Metadaten enthielten, die Parler-Nutzer am 6. Januar eindeutig in und um das Kapitol herum, auch in gesicherten Bereichen, verorteten. Zumindest ein Teil dieser Daten – 56.000 Gigabyte – wurde laut eidesstattlichen Erklärungen der Bundesbehörden verwendet, um Teilnehmer an den Unruhen zu identifizieren und festzunehmen, aber es gibt keinen eindeutigen Beweis dafür, dass die Bundesbehörden die Datentranche von @donk_envy verwendet haben.
Aber wie wurde das gemacht? Erste Spekulationen gingen dahin, dass @donk_enby oder ein anderer Hacker die Parler-Administrationsdaten gestohlen haben könnte, was eine illegale Handlung wäre. Die gängige Theorie ist, dass, wie The Startup berichtete und mehrere Sicherheitsexperten dargelegt haben, stattdessen die eigene API von Parler missbraucht wurde, um die Daten der Website zu archivieren – und zwar schnell.
Die Entwickler von Parler haben den Zugang zur API nicht durch eine Authentifizierung eingeschränkt. Die Benutzer brauchten keine speziellen Anmeldeinformationen, um auf die Daten im Backend zuzugreifen. Das ließ eine riesige Hintertür offen.
Die meisten Websites, die sich der grundlegenden Sicherheitsprotokolle bewusst sind, erlauben den Zugriff auf die API nicht ohne irgendeine Form der Benutzerauthentifizierung, um sicherzustellen, dass die Anfrage nicht bösartig ist. Wie The Startup herausstellte, sind zwei gängige Authentifizierungslösungen API-Schlüssel und „Token“, die beide gültige Anmeldeinformationen erfordern, die es der Website auch ermöglichen zu wissen, wer auf die Daten zugreift.
Keine Authentifizierungsanforderung lässt eine Tür offen. Darüber hinaus haben sich die Entwickler von Parler nicht die Mühe gemacht, eine zweite Verteidigungsebene in Form einer Ratenbeschränkung hinzuzufügen, d. h. statt einer angelehnten oder angeknacksten Tür stand die Tür weit offen.
Die Ratenbeschränkung begrenzt die Datenmenge, auf die ein Benutzer unabhängig von seinen Anmeldedaten zugreifen kann. Web-Benutzer haben vielleicht 429 „Too Many Request“-Fehlermeldungen in freier Wildbahn gesehen, was ein Zeichen dafür ist, dass es zu viele Klopfzeichen oder Versuche gab, durch die Tür zu kommen. Bei Parler war das nicht der Fall, was bedeutet, dass @donk_enby nach dem Zugriff auf das ungesicherte Backend die Daten von Parler innerhalb von 48 Stunden archivieren konnte. (Seltsamerweise verfügt Amazon Web Service über eine grundlegende Firewall-Option, die Parler anscheinend nicht nutzte, wie The Startup feststellte.)
Schließlich erlaubte Parler auch, dass Beiträge, von denen die Nutzer glaubten, sie seien gelöscht, sowohl verfügbar als auch leicht zu entdecken waren, sobald jemand im Backend war. Nach den tödlichen Unruhen ermutigten einige Parler-Benutzer, die sich der Unmengen von Beweisen im Internet bewusst waren, andere, ihre Beiträge vom 6. Januar zu löschen.
Alle Parler-Beiträge erhielten fortlaufende Nummern, die sich um 1 erhöhten. Selbst wenn diese Beiträge vom Benutzer gelöscht wurden, blieben sie im Backend erhalten. @donk_enby brauchte offenbar nur ein sehr einfaches Skript zu schreiben, das jeden Beitrag einzeln fand und archivierte. Und da Parler sich nicht die Mühe gemacht hat, mit Geo-Tags versehene Daten aus Fotos, Videos und Beiträgen zu entfernen, bevor sie hochgeladen wurden, saßen diese Informationen auch dort und warteten darauf, archiviert zu werden.
Es ist möglich, dass andere Websites, die WordPress oder eine andere Hosting-Software verwenden, ähnliche Sicherheitslücken haben, aber sie sind vielleicht auch nicht so berüchtigt, dass diese Sicherheitslücken das Interesse von wachsamen Hackern erregen und somit durchbrochen werden.
„Es ist nicht ungewöhnlich, dass Websites Sicherheitsmängel haben, manchmal erhebliche, die unbemerkt bleiben, weil sie nicht populär genug sind, um mehr als einfache, oft automatisierte Versuche, sie zu kompromittieren, anzuziehen“, sagte Erich Kron, ein Sicherheitsexperte bei KnowBe4, einem bekannten Unternehmen für Sicherheitslösungen. „Wenn die Website schnell populär wird, nehmen der Fokus und die Komplexität dieser Tests zu, was oft zur Entdeckung von Schwachstellen führt.“
Ein aktuelles Beispiel für dieses Phänomen, so Kron, war Zoom. Als die COVID-19-Pandemie dazu führte, dass alle Mitarbeiter per Fernzugriff arbeiten mussten, wurden die zuvor unentdeckten Sicherheitslücken von Zoom entdeckt, ausgenutzt und dann schnell gepatcht. Aber als die Sicherheitsanbieter begannen, ihren ehemaligen Client zu verwerfen, „blieb Parler verwundbar, und das zu einer Zeit, als sie auch ein Ziel von Angreifern, Hacktivisten und anderen waren“, fügte Kron hinzu.
Parler ist noch nicht ganz tot. Am Wochenende kehrte eine Version von Parler auf denselben Webservern zurück, auf denen auch andere Seiten gehostet werden, die Hassreden willkommen heißen. Seit Dienstagabend ist die Homepage der Website eine Landing Page für „technische Schwierigkeiten“; der Gründer der Website, John Matze, sagte Fox News, dass die Website bis Ende des Monats wieder voll funktionsfähig sein soll (obwohl mobile Nutzer wahrscheinlich auf die webbasierte Version statt auf eine App angewiesen sein werden). Und es gibt noch andere Anlaufstellen für die Online-Rechtsextremen – obwohl, wie Zolides betonte, auf „freie Meinungsäußerung“ ausgerichtete Foren wie Gab bei der Moderation von Inhalten proaktiver waren als Parler.
Wie genau @donk_enby auf die Daten von Parler zugegriffen hat und ob die „Open-Door“-Theorie genau das war, was passiert ist, wird sich noch herausstellen. (Und unabhängig von der Frage der Cybersicherheit sind Fragen der Ethik zu klären. Egal, ob es sich um einen Einbruch oder einen Hack handelt, Parlers Nutzerdaten wurden trotzdem gestohlen, wie Steinberg sagte, und ein Raub ist nichts, was man feiern sollte.)
Angenommen, Parlers Daten wurden durch ein schlechtes Design gestohlen, dann ist die Online-Geschichte vom 6. Januar eine der wiederholten Selbstbeschuldigung: Demaskierte Randalierer, die durch das US-Kapitol zogen, fröhlich und offen über ihre vereitelten zusätzlichen Pläne diskutierten und die ganze Zeit über belastende Beweise ins Internet stellten, auf eine Website, die nicht darauf vorbereitet war, diese Beweise anonym oder sicher zu halten.