A Parler, a Twitter-rabló, amely az amerikai Capitoliumot január 6-án megrohamozó Donald Trump-fanatikusok egyik fő szervezőeszközeként szolgált, több mint egy hete nagyrészt offline van. De még a felfüggesztett animációban is gondot okoz a QAnon, a Proud Boys és az amerikai szélsőjobboldal más elemeinek kedvelt online otthona.
Az Amazon, az Apple és a Google döntése, hogy megszünteti az oldal tárhelyét, és megtiltja a mobilfelhasználóknak az alkalmazás letöltését, a Big Tech cenzúra kiáltásait váltotta ki. Az első alkotmánymódosítás és az internet szabályozására vonatkozó politikától eltekintve, az a mód, ahogyan a Parler kifelé menet adatokat árasztott, komoly kiberbiztonsági kérdéseket vet fel, valamint aggodalomra ad okot azzal kapcsolatban, hogy az internet más szereplőinek is vannak-e adatszivárgásaik a jövőben.
Bár ezt lehetetlen ellenőrizni anélkül, hogy bekukkantanánk a Parler csuklyája alá – ami most már lehetetlen, mivel a weboldal offline van -, az uralkodó narratíva az, hogy a Parler biztonsági hibája (vagy hibái) lehetővé tette egy fehér kalapos hacker számára, hogy letöltse és archiválja a Parler összes felhasználói adatát, nem sokkal azelőtt, hogy az Amazon Web Services leállította az oldal tárhelyét. A nyilvánosság (és a bűnüldöző szervek) számára hozzáférhetővé tett adatok között egyes esetekben potenciálisan terhelő helymeghatározási adatok is szerepeltek.
A Parler a Worpressre, a világ legelterjedtebb tartalomkezelő rendszerére támaszkodott. Ez olyan találgatásokhoz vezetett, hogy a WordPress is részese volt a hibának, és hogy mindenki más, aki WordPress-t használ, veszélyben volt. A kiberbiztonsági szakértők – köztük több, e cikkhez megkeresett szakértő – általános konszenzusa szerint azonban a Parler adatainak megsértése nem pusztán azért történt, mert a Parler WordPress-t használt. Ehelyett a Parler felhasználói adatai azért szivárogtak ki, mert John Matze vezérigazgató és az oldal építészei súlyos hibákat hagytak a Parler API-jában, a Parler front-endje és a felhasználói adatok közötti kapcsolatban.
See Also: Elon Musk a Facebookot és Mark Zuckerberget okolja a Capitol Riotért
Az “uralkodó vélekedés” az, hogy “a Parler egy elsietett, rossz tervezés volt, amelyet jobboldali befektetők támogattak, hogy elég nagyra nőjön, mielőtt technológiai szempontból szilárd alapot építettek volna” – mondta Andrew Zolides, a Xavier Egyetem kommunikációs professzora, aki a digitális tervezésről tart kurzusokat az Observernek. (A Parler befektetői között van a jobboldali milliárdos Rebekah Mercer, aki megpróbálta kihasználni a Twitter és a Facebook elleni jobboldali haragot, hogy növelje a Parler közönségét.)
“Bár minden weboldalnak vannak adatvédelmi aggályai, a Parler esetében úgy tűnik, hogy túl nagyra nőtt, túl gyorsan, és nem volt meg a képesség vagy a technikai know-how, hogy ténylegesen felkészüljön erre” – tette hozzá Zolides.
Az anonimitás vagy általában a biztonság miatt aggódók számára üdvözlendő fejlemény, hogy más weboldalak is elkerülhetik a Parler csapdáját… feltéve, hogy nem viszonylag új és kis startupokról van szó, amelyek megpróbálnak versenyre kelni a Twitterhez és a Facebookhoz hasonló befutott óriásokkal, ahogyan a Parler is tette.
“Igen, a Parler lehetett volna jobban megtervezett, de reálisan szólva, ez az a fajta probléma, ami akkor fordul elő, amikor olyan érett vállalatokkal versenyzel, amelyek milliárd és milliárd dollárokat fektettek be a termékeikbe” – mondta Joseph Steinberg biztonsági szakértő, a Cybersecurity for Dummies című könyv szerzője. “Nehéz lesz mindent biztonságosan megtervezni, amit csak akarsz.”
A Google, az Apple és az Amazon felfüggesztette a Parler közösségi hálózati alkalmazást. Parler vált elérhetetlenné App Store, Google Play és az Amazon Web Services, állítólag mint mondta elégtelen ellenőrzés a felhasználó hozzászólások, hogy ösztönözte az erőszak, állítólag a média. Photo Illustration by Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Először is, az állítólagos “hackelés” módszere. Mielőtt a Parlert lehúzták az AWS-ről, egy @donk_enby nevű Twitter-felhasználó rájött, hogyan lehet letölteni a weboldal felhasználói adatait – mindez, bármilyen más, nagyon is nyilvános bizonyítékkal együtt, amely szerint a Parler felhasználói betörtek a Capitoliumba, megtámadták a rendőröket és további erőszakot terveztek, potenciálisan nagyon terhelő volt, ahogy arról a Gizmodo beszámolt.
@donk_enby végül 56 terabájtnyi adatot szerzett meg: fényképeket, videókat és szöveges bejegyzéseket, amelyek közül sok tartalmazott olyan GPS-metaadatokat, amelyek alapján a Parler-felhasználók január 6-án a Capitoliumban és annak környékén tartózkodtak, beleértve a biztosított területeket is. Az adatok legalább egy részét – 56 000 gigabájtot – a szövetségi eskü alatt tett nyilatkozatok szerint a zavargások résztvevőinek azonosítására és letartóztatására használták fel, de nincs pozitív bizonyíték arra, hogy a szövetségiek felhasználták volna @donk_envy adattrancsát.
De hogyan történt ez? A korai spekulációk arról szóltak, hogy @donk_enby vagy egy másik hacker ellophatta a Parler adminisztrátori jogosultságait, ami illegális cselekmény lenne. Az elfogadott elmélet szerint – ahogy arról a The Startup is beszámolt és több biztonsági szakértő is felvázolta – ehelyett a Parler saját API-ját használták fel ellene a weboldal adatainak archiválására – méghozzá gyorsan.
A Parler tervezői nem korlátozták az API-hoz való hozzáférést hitelesítés megkövetelésével. A felhasználóknak nem volt szükségük különleges hitelesítő adatokra ahhoz, hogy hozzáférjenek az adatokhoz a backendben. Ez egy hatalmas hátsó ajtót hagyott nyitva.
A legtöbb webhely, amely ismeri az alapvető biztonsági protokollt, nem engedélyezi az API-hoz való hozzáférést a felhasználói hitelesítés valamilyen formája nélkül, hogy biztosítsa, a kérés nem rosszindulatú. Ahogy a The Startup rámutatott, két gyakori hitelesítési megoldás az API-kulcsok és a “tokenek”, mindkettőhöz szükség van valamilyen érvényes hitelesítő adatra, amelyek azt is lehetővé teszik a webhely számára, hogy tudja, ki fér hozzá az adatokhoz.
A hitelesítési követelmény nem hagyott nyitva ajtót. Ráadásul a Parler tervezői nem vették a fáradságot, hogy egy második védelmi réteget is hozzáadjanak a sebességkorlátozással – vagyis ahelyett, hogy az ajtó résnyire nyitva vagy nyitva maradt volna, az ajtó szélesre tárva maradt.
A sebességkorlátozás korlátozza, hogy egy felhasználó a hitelesítő adatoktól függetlenül mennyi adathoz férhet hozzá. A webes felhasználók 429 “Túl sok kérés” hibaüzenetet láthattak a szabadban, ami annak a jele, hogy túl sokan kopogtak vagy próbáltak átjutni az ajtón. A Parlernél sem volt ilyen, ami azt jelentette, hogy miután sikerült hozzáférni a nem biztonságos backendhez, @donk_enby 48 órán belül archiválni tudta a Parler adatait is. (Furcsa módon, ahogy a The Startup rámutatott, az Amazon Web Service rendelkezik egy alapvető tűzfal opcióval, amivel a Parler a jelek szerint nem foglalkozott.)
Végezetül a Parler azt is lehetővé tette, hogy a felhasználók által töröltnek hitt bejegyzések elérhetőek és könnyen felfedezhetőek legyenek, amint valaki belépett a back endbe. A halálos zavargások után néhány Parler-felhasználó, aki tisztában volt a világhálón elérhető rengeteg bizonyítékkal, arra biztatott másokat, hogy töröljék a január 6-i bejegyzéseiket.
A Parler összes bejegyzése sorszámot kapott, amely 1-gyel nőtt. Még ha ezeket a bejegyzéseket a felhasználó törölte is, a back endben maradtak. @donk_enby-nek nyilvánvalóan csak egy nagyon egyszerű szkriptet kellett írnia, amely egyesével megtalálta és archiválta az egyes hozzászólásokat. És mivel a Parler nem törődött azzal, hogy a fotókról, videókról és bejegyzésekről a feltöltés előtt eltávolítsa a geo-címkézett adatokat, ezek az információk is ott ültek és vártak az archiválásra.
Ez lehetséges, hogy más, WordPress-t vagy más tárhelyszoftvert használó webhelyek is rendelkeznek hasonló biztonsági hibákkal, de az is lehet, hogy nem elég hírhedtek ahhoz, hogy ezek a biztonsági hibák az önbíráskodó hackerek érdeklődését felkeltsék, és így feltörjék őket.
“Nem ritka, hogy a webhelyek olyan – néha jelentős – biztonsági hibákkal rendelkeznek, amelyek észrevétlenek maradnak, mert nem elég népszerűek ahhoz, hogy egyszerű, gyakran automatizált kompromittálási kísérleteknél többet vonzzanak” – mondta Erich Kron, a KnowBe4 neves biztonsági megoldásokkal foglalkozó cég biztonsági szakértője. “Amikor az oldal gyorsan népszerűvé válik, ezeknek a teszteknek a fókusza és összetettsége megnő, ami gyakran a sebezhetőségek felfedezéséhez vezet.”
Ez a jelenség egyik legfrissebb példája Kron szerint a Zoom volt. Amikor a COVID-19 járvány miatt minden munka távmunkára kényszerült, a Zoom korábban fel nem fedezett biztonsági hibáit felfedezték, kihasználták, majd gyorsan befoltozták. De a Parler esetében, amikor a biztonsági gyártók elkezdték elhagyni egykori kliensüket, “a Parler sebezhetővé vált egy olyan időszakban, amikor ők is a támadók, hacktivisták és mások célpontjává váltak” – tette hozzá Kron.
A Parler még nem halt meg teljesen. A hétvégén a Parler valamelyik verziója visszatért ugyanazokon a webszervereken, amelyek más, gyűlöletbeszédet befogadó szélsőséges oldalaknak adnak otthont. Kedd este óta az oldal honlapja egy “technikai nehézségek” céloldal; az oldal alapítója, John Matze a Fox Newsnak elmondta, hogy a honlap a tervek szerint a hónap végére teljesen működőképes lesz (bár a mobilfelhasználók valószínűleg az alkalmazás helyett a webes verziót fogják használni). És vannak más otthonai is az online szélsőjobboldalnak – bár, ahogy Zolides rámutatott, az olyan “szólásszabadságra” összpontosító fórumok, mint a Gab, proaktívabbak voltak a tartalom moderálásával, mint a Parler.
Még több részlet derülhet ki arról, hogy pontosan hogyan férhetett hozzá @donk_enby a Parler adataihoz, és hogy a “nyitott ajtók” elmélet pontosan ez volt-e a helyzet. (És a kiberbiztonsági kérdéstől külön állnak az etikai kérdések; betörés vagy hack, a Parler felhasználói adatait akkor is ellopták, ahogy Steinberg mondta, és egy rablást nem kell ünnepelni.)
Feltételezve, hogy a Parler adatait rosszul tervezték meg, a január 6-i online történet egyelőre az ismétlődő önvádaskodás története: a leleplezett lázadók az amerikai Capitoliumot járják, vidáman és nyíltan megvitatják meghiúsult további terveiket, és mindeközben terhelő bizonyítékokat tesznek közzé az interneten, egy olyan weboldalon, amely nem volt felkészülve arra, hogy a bizonyítékokat névtelenül vagy biztonságosan tárolja.