Parler, Twitter-rip-off, joka toimi yhtenä tärkeimmistä järjestäytymisvälineistä Donald Trumpin fanaatikoille, jotka rynnäköivät Yhdysvaltain Capitoliin 6. tammikuuta, on ollut suurelta osin offline-tilassa yli viikon ajan. Mutta jopa lepotilassa QAnonin, Proud Boysin ja muun amerikkalaisen äärioikeiston suosima verkkokoti aiheuttaa edelleen ongelmia.
Amazonin, Applen ja Googlen päätökset lopettaa sivuston isännöinti ja kieltää mobiilikäyttäjiä lataamasta sovellusta ovat herättäneet huutoja Big Tech -sensuurista. Ensimmäisen lisäyksen ja internetin sääntelyn politiikkaa lukuun ottamatta tapa, jolla Parler pursuili tietoja matkalla ulos ovesta, herättää vakavia kyberturvallisuuskysymyksiä sekä huolta siitä, onko muilla internetin toimijoilla tulevaisuudessa tietomurtoja.
Vaikka sitä on mahdotonta todentaa kurkistamatta Parlerin hupun alle – mikä on nyt mahdotonta, koska sivusto on offline – vallitseva tarina on, että Parlerin tietoturva-aukko (tai -viat) mahdollisti sen, että valkohattuinen hakkeri pystyi lataamaan ja arkistoimaan kaikki Parlerin käyttäjätiedot vähän ennen kuin Amazon Web Services lopetti sivuston isännöinnin. Yleisön (ja lainvalvontaviranomaisten) saataville asetettujen tietojen joukossa oli joissakin tapauksissa mahdollisesti raskauttavia sijaintitietoja.
Parler käytti Worpressia, maailman käytetyintä sisällönhallintajärjestelmää. Tämä on johtanut spekulaatioihin, että WordPress oli osa virhettä ja että kaikki muut WordPressiä käyttävät olivat vaarassa. Kyberturva-asiantuntijoiden, mukaan lukien useat, joihin otettiin yhteyttä tätä artikkelia varten, yleisen yksimielisyyden mukaan Parlerin tietomurto ei kuitenkaan tapahtunut pelkästään siksi, että Parler käytti WordPressiä. Sen sijaan Parlerin käyttäjätiedot vuotivat, koska toimitusjohtaja John Matze ja sivuston arkkitehdit jättivät suuria puutteita Parlerin API:ssa, joka on linkki Parlerin etusivun ja käyttäjätietojen välillä.
Katso myös: Elon Musk syyttää Facebookia ja Mark Zuckerbergiä Capitolin mellakasta
”Vallitseva uskomus” on, ”että Parler oli hätäinen, huono suunnitelma, jota oikeistolaiset sijoittajat tukivat, jotta siitä olisi tullut melko suuri, ennen kuin se oli oikeasti rakentanut vankan perustan teknologisesti”, kertoi Observerille digitaalisen muotoilun kursseja opettava viestinnän professori Andrew Zolides Xavierin yliopistosta. (Parlerin sijoittajien joukossa on muun muassa oikeistomiljardööri Rebekah Mercer, joka yritti hyödyntää oikeistovihaa Twitteriä ja Facebookia kohtaan kasvattaakseen Parlerin yleisöä.)
”Vaikka millä tahansa verkkosivustolla on yksityisyydensuojaan liittyviä huolenaiheita, Parler vaikuttaa siltä, että se kasvoi liian suureksi liian nopeasti, eikä sillä ollut kykyä tai teknistä tietotaitoa, jolla siihen olisi voinut oikeasti varautua”, Zolides lisää.
Terveellistä kehitystä kaikille, jotka ovat huolissaan anonymiteetistä tai turvallisuudesta yleensä, muut sivustot voivat välttää Parlerin ansan… edellyttäen, että ne eivät ole suhteellisen uusia ja pieniä startup-yrityksiä, jotka yrittävät kilpailla Twitterin ja Facebookin kaltaisten vakiintuneiden jättiläisten kanssa, mitä Parler juuri teki.
”Kyllä, Parler olisi voitu suunnitella paremmin, mutta realistisesti ajateltuna tämä on juuri sellainen ongelma, joka syntyy, kun kilpailee kypsiä yrityksiä vastaan, jotka ovat investoineet miljardeja ja taas miljardeja dollareita tuotteisiinsa”, sanoo Joseph Steinberg, tietoturva-asiantuntija ja Cybersecurity for Dummies -kirjan kirjoittaja. ”Sinun on vaikea suunnitella kaikkea haluamaasi turvallisesti.”
Google, Apple ja Amazon ovat keskeyttäneet sosiaalisen verkostoitumisen sovelluksen Parlerin käytön. Parler tuli saavuttamattomissa App Store, Google Play ja Amazon Web Services, tiettävästi koska sanoi riittämätön valvonta käyttäjän viestejä, jotka kannustivat väkivaltaa, tiettävästi media. Photo Illustration by Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Ensiksi väitetyn ”hakkerin” menetelmä. Ennen kuin Parler vedettiin pois AWS:stä, Twitter-käyttäjä, jonka nimimerkki oli @donk_enby, keksi, miten ladata sivuston käyttäjätiedot – kaikki tämä, yhdessä minkä tahansa muun hyvin julkisen todistusaineiston kanssa Parler-käyttäjistä, jotka tunkeutuivat Capitoliin, hyökkäsivät virkamiesten kimppuun ja suunnittelivat lisää väkivaltaa, oli potentiaalisesti hyvin raskauttavaa, kuten Gizmodo raportoi.
@donk_enby nappasi lopulta 56 teratavun edestä dataa: valokuvia, videoita ja tekstiviestejä, joista monet sisälsivät jonkin verran GPS-metatietoja, joiden perusteella Parler-käyttäjät sijaitsivat 6. tammikuuta Capitolissa ja sen ympäristössä, myös suojatuilla alueilla. Ainakin osaa näistä tiedoista – 56 000 gigatavua – on käytetty liittovaltion valaehtoisten lausuntojen mukaan mellakkaan osallistujien tunnistamiseen ja pidättämiseen, mutta ei ole mitään todisteita siitä, että liittovaltion viranomaiset olisivat käyttäneet @donk_envyn dataerää.
Mutta miten se tehtiin? Varhaisessa vaiheessa spekuloitiin, että @donk_enby tai joku muu hakkeri on saattanut varastaa Parlerin hallintatunnukset, mikä olisi laiton teko. Hyväksytty teoria on, kuten The Startup raportoi ja useat tietoturva-asiantuntijat ovat hahmotelleet, että sen sijaan Parlerin omaa API:ta käytettiin sitä vastaan sivuston tietojen arkistoimiseksi – ja vieläpä nopeasti.
Parlerin suunnittelijat eivät rajoittaneet pääsyä API:han vaatimalla todennusta. Käyttäjät eivät tarvinneet erityisiä tunnistetietoja päästäkseen käsiksi taustapuolen tietoihin. Tämä jätti valtavan takaportin auki.
Useimmat perusturvaprotokollasta tietoiset verkkosivustot eivät salli pääsyä API:han ilman jonkinlaista käyttäjän todennusta, jolla varmistetaan, ettei pyyntö ole ilkivaltainen. Kuten The Startup huomautti, kaksi yleistä todennusratkaisua ovat API-avaimet ja ”tokenit”, jotka molemmat vaativat joitakin voimassa olevia tunnistetietoja, joiden avulla verkkosivusto voi myös tietää, kuka käyttää tietoja.
Ei todennusvaatimus jättänyt ovea auki. Tämän lisäksi Parlerin suunnittelijat eivät vaivautuneet lisäämään toista puolustuskerrosta nopeusrajoituksen muodossa – eli sen sijaan, että ovi olisi jäänyt auki tai jätetty raolleen, ovi oli täysin auki.
Nopeusrajoitus rajoittaa sen, kuinka paljon dataa käyttäjä voi saada käyttöönsä valtakirjoista riippumatta. Verkkokäyttäjät ovat saattaneet nähdä luonnossa 429 ”Too Many Request” -virheilmoitusta, mikä on merkki siitä, että ovesta on koputettu tai yritetty kulkea liian monta kertaa. Parlerilla ei ollut myöskään tätä, mikä tarkoitti sitä, että kun suojaamattomaan taustapäätteeseen oli päästy käsiksi, @donk_enby pystyi myös arkistoimaan Parlerin tiedot 48 tunnin kuluessa. (Kummallista kyllä, kuten The Startup huomautti, Amazon Web Servicessä on perustason palomuurivaihtoehto, jota Parler ei näyttänyt vaivautuvan käyttämään.)
Loppujen lopuksi Parler antoi myös käyttäjiensä poistetuiksi uskomien postausten olla sekä saatavilla että helposti löydettävissä, kun joku oli päässyt back endiin. Kuolemaan johtaneiden mellakoiden jälkimainingeissa jotkut Parlerin käyttäjät, jotka olivat tietoisia verkossa saatavilla olevasta todistusaineistosta, kehottivat muita poistamaan viestejään tammikuun 6. päivästä lähtien.
Kaikki Parlerin viestit saivat juoksevat numerot, jotka kasvoivat 1:llä. Jopa silloin, kun käyttäjä poisti nämä viestit, ne pysyivät back endissä. @donk_enby tarvitsi ilmeisesti kirjoittaa vain hyvin yksinkertaisen skriptin, joka löysi ja arkistoi jokaisen viestin yksi kerrallaan. Ja koska Parler ei vaivautunut poistamaan geomerkittyjä tietoja valokuvista ja videoista ja viesteistä ennen niiden lataamista, myös nämä tiedot odottivat arkistointia.
On mahdollista, että muillakin verkkosivustoilla, jotka käyttävät WordPressiä tai muita isännöintiohjelmistoja ylipäätään, voi olla samanlaisia tietoturva-aukkoja, mutta ne eivät ehkä myöskään ole tarpeeksi pahamaineisia, jotta nämä tietoturva-aukot kiinnostaisivat omankädenoikeudellisia hakkereita ja näin ollen niitä voitaisiin murtaa.
”Ei ole harvinaista, että verkkosivustoilla on tietoturva-aukkoja, joskus merkittäviä, jotka jäävät huomaamatta, koska ne eivät ole tarpeeksi suosittuja houkutellakseen muita kuin yksinkertaisia, usein automatisoituja yrityksiä vaarantaa ne”, sanoo Erich Kron, KnowBe4:n, tunnetun tietoturvaratkaisuja tarjoavan yrityksen turvallisuusasiantuntija. ”Kun sivustosta tulee nopeasti suosittu, näiden testien keskittyminen ja monimutkaisuus lisääntyvät, mikä johtaa usein haavoittuvuuksien löytymiseen.”
Kronin mukaan yksi tuore esimerkki tästä ilmiöstä oli Zoom. Kun COVID-19-pandemia teki kaikesta työstä etätyötä, Zoomin aiemmin huomaamattomat tietoturva-aukot löydettiin, niitä käytettiin hyväksi ja sitten ne korjattiin nopeasti. Mutta Parlerin kohdalla, kun tietoturvatoimittajat alkoivat hylätä entisen asiakkaansa, ”se jätti Parlerin haavoittuvaksi samaan aikaan, kun he olivat myös hyökkääjien, hacktivistien ja muiden kohteena”, Kron lisäsi.
Parler ei ole vielä aivan kuollut. Viikonloppuna jokin versio Parlerista palasi samoille verkkopalvelimille, jotka isännöivät muita vihapuhetta tervehtiviä marginaalisivustoja. Tiistai-illasta lähtien sivuston etusivu on ”tekniset vaikeudet” -laskeutumissivu; sivuston perustaja John Matze kertoi Fox Newsille, että sivusto aikoo olla täysin toimintakykyinen kuun loppuun mennessä (joskin mobiilikäyttäjät joutuvat todennäköisesti käyttämään sovelluksen sijasta verkkoversiota). Verkossa on muitakin äärioikeistolaisia koteja – tosin, kuten Zolides huomautti, Gabin kaltaiset ”sananvapauteen” keskittyvät foorumit ovat olleet ennakoivampia sisällön moderoinnin suhteen kuin Parler.
Lisätietoa saattaa vielä paljastua siitä, miten @donk_enby pääsi käsiksi Parlerin tietoihin ja oliko ”avointen ovien” teoria tarkalleen ottaen se, mitä tapahtui. (Ja kyberturvallisuuskysymyksestä erillään seisovat eettiset kysymykset; murto tai hakkerointi, Parlerin käyttäjätiedot varastettiin silti, kuten Steinberg sanoi, eikä ryöstö ole mitään juhlittavaa.)
Jos oletetaan, että Parlerin tiedot on murrettu huonolla suunnittelulla, tammikuun 6. päivän verkkotarina on toistuva itsesyyllisyystarina: naamioitumattomat mellakoitsijat vaelsivat Yhdysvaltain Capitolissa, keskustelivat iloisesti ja avoimesti epäonnistuneista lisäsuunnitelmistaan ja julkaisivat koko ajan raskauttavia todisteita internetissä sivustolla, joka ei ollut valmistautunut pitämään todistusaineistoa nimettömänä tai turvallisena.