Parlerはインターネット最大のプラットフォームであるWordPressでハッキングされた。 誰もが危険にさらされているのか?

1月6日に米国連邦議会議事堂を襲撃したドナルド・トランプ狂信者の主要な組織ツールの1つとして機能したTwitterのパクリであるParlerは、1週間以上ほとんどオフラインになっています。 しかし、仮死状態にあっても、QAnon や Proud Boys などのアメリカの極右勢力にとって好ましいオンライン・ホームは、依然として問題を引き起こしています。

Amazon、Apple、Google がこのサイトのホストをやめ、モバイル・ユーザーがアプリをダウンロードするのを禁止したことで、ビッグテック検閲の声が上がっています。 憲法修正第1条とインターネット規制の政治はさておき、Parler がドアを出るときにデータを放出した方法は、深刻なサイバーセキュリティの問題を提起し、インターネット上の他のプレーヤーが将来的にデータ侵害を起こすかどうかを心配させているのである。

Parler のフードを覗き見しない限り確認することは不可能ですが (ウェブサイトがオフラインであるため不可能)、一般的に言われているのは、Amazon Web Services がサイトのホスティングを停止する少し前に、Parler のセキュリティ欠陥により、ホワイトハッカーが Parler のすべてのユーザーデータをダウンロードおよびアーカイブすることができたということです。 一般市民 (および警察) がアクセスできるように提示されたデータの中には、場合によっては、犯罪につながる可能性のある位置情報データも含まれていました。 そのため、WordPress が欠陥の一部であり、WordPress を使用している誰もが危険にさらされているという憶測が流れました。 しかし、この記事のために連絡を取った数人を含むサイバーセキュリティの専門家の総意によれば、Parlerのデータ流出は、ParlerがWordPressを使っていたからというだけでは起きなかったといいます。 その代わり、Parler のユーザー データは、CEO の John Matze 氏とサイトの設計者が、Parler のフロントエンドとユーザー データとの間のリンクである API に重大な欠陥を残したために流出しました。 イーロン・マスクは、Facebook とマーク・ザッカーバーグを議事堂の暴動で非難しています

「優勢な信念」は、「Parler は、右寄りの投資家に後押しされて、技術的に言えば、本当に強固な基盤を築く前にかなり大きくなった、急いだ、お粗末な設計である」というものです。 (このような状況下、Parlerの投資家の中には、TwitterやFacebookに対する右翼の怒りを利用してParlerの利用者を増やそうとした右翼の億万長者Rebekah Mercer氏がいます)

「どんなウェブサイトにもプライバシーに関する問題はありますが、Parlerはあまりにも大きく、あまりにも速く、実際にそれに備える能力も技術ノウハウもないという問題のように見えます」とZolidesは付け加えました。

一般に匿名性やセキュリティを懸念する人々にとって歓迎すべきことですが、他のウェブサイトは Parler の罠を避けることができます…ただし、Twitter や Facebook といった既存の巨大企業と競合しようとする比較的新しく小さな新興企業でないことが条件で、これはまさに Parler がそうしたものです。

「確かにParlerはもっとうまく設計できたはずですが、現実的に言えば、これは何十億ドルも製品に投資している成熟した企業と競争するときに起こる問題です」と、セキュリティ専門家で『Cybersecurity for Dummies』の著者でもあるJoseph Steinberg氏は言います。 また、”Security for Dummies “の著者でセキュリティ専門家のJoseph Steinberg氏は、「あなたが望むすべてを安全に設計するのは難しいでしょう」と述べています。

Google、Apple、AmazonはソーシャルネットワークアプリParlerを停止しました。 ParlerはApp Store、Google Play、Amazon Web Servicesで利用できなくなったが、報道では暴力を奨励するユーザーの投稿に対する制御が不十分であるとされている。 Photo Illustration by Pavlo Gonchar/SOPA Images/LightRocket via Getty Images

まず、”ハッキング “とされる方法について。 Parler が AWS から削除される前に、@donk_enby というハンドル名の Twitter ユーザーが、ウェブサイトのユーザー データをダウンロードする方法を突き止めました。

@donk_enby は最終的に 56 テラバイト相当のデータを取得しました。写真、ビデオ、テキスト投稿で、その多くには GPS メタデータが含まれており、1 月 6 日に Parler ユーザーが安全な場所を含む議事堂周辺にいたことが確実となりました。 連邦政府の宣誓供述書によると、このデータの少なくとも一部(56,000ギガバイト)は、暴動参加者を特定し逮捕するために使用されていますが、連邦政府が @donk_envy のデータ トランシェを使用したという確証は得られません。 初期の推測では、@donk_enby または他のハッカーが Parler の管理者クレデンシャルを盗んだのではないかと騒がれていましたが、これは違法行為となります。 The Startup が報告し、複数のセキュリティ専門家が概説しているように、Parler 自身の API がウェブサイトのデータをアーカイブするために使用され、それを迅速に実行したというのが定説となっています。 ユーザーは、バックエンドのデータにアクセスするために特定のクレデンシャルを必要としませんでした。 754>

基本的なセキュリティ プロトコルを認識しているほとんどの Web サイトは、リクエストが悪意のあるものでないことを確認するために、何らかのユーザー認証なしで API へのアクセスを許可していません。 The Startup が指摘したように、2 つの一般的な認証ソリューションは API キーと「トークン」ですが、どちらも何らかの有効な認証情報を必要とし、誰がデータにアクセスしているのかを Web サイトが知ることもできます。 その上、Parler の設計者は、レート制限という方法で 2 番目の防御層をわざわざ追加しませんでした。つまり、ドアが開いているか、割れたままになっているのではなく、ドアが大きく開いているのです。 Web ユーザーは、429 件の「Too Many Request」エラー メッセージを見たことがあるかもしれません。 Parlerにはこれがなかった。つまり、安全でないバックエンドにアクセスされると、@donk_enbyは48時間以内にParlerのデータをアーカイブすることもできてしまったのだ。 (奇妙なことに、The Startup が指摘したように、Amazon Web サービスには基本的なファイアウォール オプションがありますが、Parler はそれを気にしなかったようです。)

最後に、Parler は、ユーザーが削除されたと信じていた投稿を、誰かがバックエンドにアクセスすると、利用可能かつ容易に発見できるようにしました。 致命的な暴動の後、ウェブ上で入手可能な大量の証拠を知っていた一部の Parler ユーザーは、1 月 6 日から投稿を削除するよう他のユーザーに促しました。

Parler のすべての投稿には、1ずつ増える連番が付けられており、それらの投稿がユーザーによって削除されても、バックエンドに残りました。 @donk_enby は、それぞれの投稿を一つずつ見つけてアーカイブする非常に基本的なスクリプトを書くだけでよかったようです。 そして、Parler はアップロードされる前に写真や動画や投稿からジオタグ付きのデータを削除することをしなかったので、その情報もアーカイブされるのを待つためにそこに座っていたのです。

著名なセキュリティ・ソリューション企業である KnowBe4 のセキュリティ専門家 Erich Kron 氏は、「Web サイトにセキュリティ欠陥があり、時には重大な欠陥があっても、単純な、しばしば自動化された、侵害しようとする試みを上回るほどの人気がないため、気づかれないことはよくあることです」と述べています。 「サイトが急速に人気を集めると、これらのテストの焦点と複雑さが増し、多くの場合、脆弱性が発見されることになります」

この現象の最近の例の 1 つは、Zoom だと Kron 氏は述べています。 COVID-19 パンデミックによってすべての仕事がリモートワークになったとき、Zoom のそれまで検出されていなかったセキュリティ欠陥が発見され、悪用され、その後すぐにパッチが適用されました。 しかし、Parler の場合、セキュリティ ベンダーがかつてのクライアントを見捨て始めたとき、「攻撃者やハクティビストなどのターゲットにもなっていた時期に、Parler は脆弱なままだった」と、Kron は付け加えました。 週末には、ヘイトスピーチを歓迎する他のフリンジサイトをホストしている同じウェブサーバー上に、Parler のあるバージョンが戻ってきたのです。 火曜日夜の時点で、サイトのホームページは「技術的な問題」のランディングページになっています。サイトの創設者である John Matze 氏は Fox News に、今月末までには完全に機能するようにする予定だと語りました(ただし、モバイルユーザーは、アプリではなくウェブベースのバージョンを使うことになりそうです)。 Zolides 氏が指摘するように、Gab のような「言論の自由」に焦点を当てたフォーラムは、Parler よりも積極的にコンテンツを管理しています。

@donk_enby が Parler のデータにアクセスした方法と「オープンドア」理論が正確に起こったかどうかについての詳細はまだ明らかにされていないかもしれません。 (サイバーセキュリティの問題とは別に、倫理的な問題もあります。違反であれハッキングであれ、Steinberg が言うように、Parler のユーザーデータは盗まれたことに変わりはなく、強盗は何も祝うべきものではありません。仮に Parler のデータが悪意を持って侵入されたと仮定すると、今のところ、1 月 6 日のオンライン ストーリーは、繰り返される自責の念のひとつです。

コメントする