Parler, de Twitter rip-off die diende als een van de belangrijkste organisatie-instrumenten voor de Donald Trump fanaten die het Amerikaanse Capitool bestormden op 6 januari, is grotendeels offline geweest voor meer dan een week. Maar zelfs in uitgestelde animatie, is het favoriete online huis voor QAnon, de Proud Boys, en andere elementen van het Amerikaanse extreem-rechts nog steeds problemen aan het veroorzaken.
Beslissingen van Amazon, Apple, en Google om te stoppen met het hosten van de site en mobiele gebruikers te verbieden om de app te downloaden, hebben kreten van Big Tech censuur teweeggebracht. Afgezien van het eerste amendement en de internetreguleringspolitiek, roept de manier waarop Parler gegevens gutste op zijn weg naar buiten ernstige vragen op over cyberveiligheid, evenals zorgen over de vraag of andere spelers op het internet datalekken in hun toekomst hebben.
Hoewel het onmogelijk is om te verifiëren zonder te gluren onder de kap van Parler – een taak die nu onmogelijk is omdat de website offline is – het heersende verhaal is dat een Parler beveiligingsfout (of gebreken) een white-hat hacker in staat stelde om alle gebruikersgegevens van Parler te downloaden en te archiveren kort voordat Amazon Web Services de stekker uit de hosting van de site trok. Onder de gegevens die voor het publiek (en wetshandhavers) toegankelijk waren, bevonden zich in sommige gevallen mogelijk belastende locatiegegevens.
Parler maakte gebruik van WordPress, ’s werelds meest gebruikte content management systeem. Dat heeft geleid tot speculaties dat WordPress deel uitmaakte van de fout en dat iedereen die WordPress gebruikt gevaar liep. Volgens een algemene consensus onder cyberbeveiligingsdeskundigen, waaronder een aantal die voor dit artikel zijn benaderd, is het datalek bij Parler echter niet alleen veroorzaakt doordat Parler WordPress gebruikte. In plaats daarvan lekten de gebruikersgegevens van Parler omdat CEO John Matze en de architecten van de site grote fouten lieten in de API van Parler, de link tussen de front-end van Parler en zijn gebruikersgegevens.
Zie ook: Elon Musk geeft Facebook en Mark Zuckerberg de schuld voor Capitol Riot
De “overheersende overtuiging” is “dat Parler een overhaast, slecht ontwerp was dat werd gesteund door rechtsgeoriënteerde investeerders om behoorlijk groot te worden voordat ze echt een solide basis hadden gebouwd, technologisch gezien,” vertelde Andrew Zolides, een professor in communicatie aan de Xavier University die cursussen in digitaal ontwerp geeft aan Observer. (Onder de investeerders van Parler bevindt zich de rechtse miljardair Rebekah Mercer, die probeerde te profiteren van de rechtse woede op Twitter en Facebook om het publiek van Parler te laten groeien.)
“Hoewel elke website zijn privacyproblemen heeft, lijkt Parler een kwestie van te groot worden, te snel en niet de mogelijkheid of technische knowhow hebben om zich daar echt op voor te bereiden,” voegde Zolides eraan toe.
In een welkome ontwikkeling voor iedereen die zich zorgen maakt over anonimiteit of veiligheid in het algemeen, kunnen andere websites de Parler-val vermijden… mits ze geen relatief nieuwe en kleine startups zijn die proberen te concurreren met gevestigde reuzen zoals Twitter en Facebook, wat precies is wat Parler deed.
“Ja, Parler had beter ontworpen kunnen zijn, maar realistisch gezien is dit het soort probleem dat zich voordoet wanneer je concurreert met volwassen bedrijven die miljarden en miljarden dollars in hun producten hebben geïnvesteerd,” zei Joseph Steinberg, een beveiligingsexpert en auteur van Cybersecurity voor Dummies. “Het wordt moeilijk om alles wat je wilt op een veilige manier te ontwerpen.”
Google, Apple en Amazon hebben de sociale netwerkapp Parler opgeschort. Parler werd onbeschikbaar in de App Store, Google Play en Amazon Web Services, naar verluidt als zei onvoldoende controle over berichten van gebruikers die aanzetten tot geweld, naar verluidt door de media. Foto Illustratie door Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Voreerst, de methode voor de vermeende “hack.” Voordat Parler van AWS werd geschrapt, ontdekte een Twitter-gebruiker met het handvat @donk_enby hoe de gebruikersgegevens van de website konden worden gedownload – wat, samen met ander zeer openbaar bewijs van Parler-gebruikers die het Capitool binnendrongen, agenten aanvielen en verder geweld beraamden, potentieel zeer belastend was, zoals Gizmodo meldde.
@donk_enby heeft uiteindelijk 56 terabytes aan gegevens verzameld: foto’s, video’s en tekstberichten, waarvan vele GPS-metadata bevatten die Parler-gebruikers positief plaatsen in en rond het Capitool op 6 januari, inclusief in beveiligde gebieden. Ten minste een deel van deze gegevens – 56.000 gigabytes – is gebruikt om deelnemers aan de oproer te identificeren en aan te houden, volgens federale beëdigde verklaringen, maar er is geen positief bewijs dat de FBI de gegevenstranche van @donk_envy heeft gebruikt.
Maar hoe is het gedaan? Vroege speculaties deden de ronde dat @donk_enby of een andere hacker misschien Parler’s beheerdersgegevens heeft gestolen, wat een illegale daad zou zijn. De geaccepteerde theorie is dat, zoals The Startup rapporteerde en verschillende beveiligingsexperts hebben geschetst, in plaats daarvan de eigen API van Parler werd gebruikt om de gegevens van de website te archiveren, en om dat snel te doen.
De ontwerpers van Parler hebben de toegang tot de API niet beperkt door authenticatie te vereisen. Gebruikers hadden geen specifieke gegevens nodig om toegang te krijgen tot de gegevens op de back-end. Dat liet een enorme achterdeur open.
De meeste websites die zich bewust zijn van basisbeveiligingsprotocollen, geven geen toegang tot de API zonder een vorm van gebruikersauthenticatie om er zeker van te zijn dat het verzoek niet kwaadaardig is. Zoals The Startup aangaf, zijn twee veel voorkomende authenticatie-oplossingen API-sleutels en “tokens,” die beide een aantal geldige referenties vereisen die ook de website in staat stellen om te weten wie toegang heeft tot de gegevens.
Geen authenticatievereiste liet een deur op een kier. Daar komt nog bij dat de ontwerpers van Parler niet de moeite hebben genomen om een tweede verdedigingslaag toe te voegen in de vorm van een snelheidslimiet – wat betekent dat in plaats van een op een kier staande of opengelaten deur, de deur wijd open stond.
Een snelheidslimiet stelt een maximum aan de hoeveelheid gegevens waartoe een gebruiker toegang heeft, ongeacht de inloggegevens. Webgebruikers hebben wellicht 429 “Too Many Request” foutmeldingen in het wild gezien, wat een teken is dat er te vaak op de deur is geklopt of dat er te veel pogingen zijn geweest om door de deur te komen. Parler had dit ook niet, wat betekende dat toen eenmaal toegang tot de onbeveiligde back-end was verkregen, @donk_enby ook in staat was om de gegevens van Parler binnen 48 uur te archiveren. (Vreemd genoeg, zoals The Startup erop wees, heeft Amazon Web Service een basis firewall optie waar Parler geen last van leek te hebben.)
Finitief, Parler stond ook toe dat berichten waarvan zijn gebruikers dachten dat ze verwijderd waren, zowel beschikbaar waren als gemakkelijk ontdekt konden worden zodra iemand in de back-end was. In de nasleep van de dodelijke rellen moedigden sommige Parler-gebruikers, zich bewust van de overvloed aan bewijsmateriaal dat op het web beschikbaar was, anderen aan om hun berichten van 6 januari te verwijderen.
Alle berichten van Parler kregen opeenvolgende nummers die opliepen met 1. Zelfs als die berichten door de gebruiker werden verwijderd, bleven ze op de back-end staan. @donk_enby hoefde blijkbaar alleen maar een heel eenvoudig script te schrijven dat elke post vond en archiveerde, een voor een. En omdat Parler niet de moeite nam om geo-tagged gegevens uit foto’s en video’s en berichten te verwijderen voordat ze werden geüpload, zat die informatie daar ook te wachten om te worden gearchiveerd.
Het is mogelijk dat andere websites die WordPress of andere hostingsoftware gebruiken in het geheel soortgelijke beveiligingsfouten hebben, maar ze zijn misschien ook niet berucht genoeg om die beveiligingsfouten de interesse van waakzame hackers te laten krijgen en dus te worden geschonden.
“Het is niet ongewoon dat websites beveiligingsfouten hebben, soms aanzienlijke, die onopgemerkt blijven omdat ze niet populair genoeg zijn om meer te trekken dan eenvoudige, vaak geautomatiseerde, pogingen om ze te compromitteren,” zei Erich Kron, een beveiligingsexpert bij KnowBe4, een vooraanstaand bedrijf voor beveiligingsoplossingen. “Wanneer de site snel populair wordt, nemen de focus en de complexiteit van deze tests toe, wat er vaak toe leidt dat kwetsbaarheden worden ontdekt.”
Een recent voorbeeld van dit fenomeen, zei Kron, was Zoom. Toen de COVID-19 pandemie al het werk op afstand deed, werden de voorheen onopgemerkte beveiligingslekken van Zoom ontdekt, uitgebuit en vervolgens snel gepatcht. Maar met Parler, toen beveiligingsleveranciers hun voormalige client begonnen te dumpen, “bleef Parler kwetsbaar op een moment dat ze ook een doelwit waren van aanvallers, hacktivisten en anderen,” voegde Kron eraan toe.
Parler is nog niet helemaal dood. In het weekend keerde een versie van Parler terug op dezelfde webservers die andere rand sites hosten die haat toespraken verwelkomen. Vanaf dinsdagavond is de homepage van de site een landingspagina met “technische problemen”; site-oprichter John Matze vertelde Fox News dat de website van plan is tegen het einde van de maand volledig functioneel te zijn (hoewel mobiele gebruikers waarschijnlijk de webversie zullen blijven gebruiken in plaats van een app). En er zijn andere huizen voor extreem-rechts online, hoewel, zoals Zolides al aangaf, op “vrije meningsuiting” gerichte forums zoals Gab proactiever zijn geweest met het modereren van inhoud dan Parler.
Meer details kunnen nog naar boven komen over hoe @donk_enby precies toegang heeft gekregen tot de gegevens van Parler en of de “open deur”-theorie precies was wat er gebeurde. (En los van de cyberveiligheidskwestie staan ethische kwesties; inbreuk of hack, de gebruikersgegevens van Parler werden nog steeds gestolen, zoals Steinberg zei, en een overval is niets om te vieren.
Aannemende dat Parler’s gegevens door slecht ontwerp zijn buitgemaakt, is het online verhaal van 6 januari er een van herhaalde zelfbeschuldiging: ontmaskerde relschoppers die het Amerikaanse Capitool afstruinden, vrolijk en openlijk hun verijdelde aanvullende plannen bespraken, terwijl ze belastend bewijs op het internet plaatsten, op een website die niet bereid was om dat bewijs anoniem of veilig te houden.