Parler, il rip-off di Twitter che è servito come uno dei principali strumenti di organizzazione per i fanatici di Donald Trump che hanno preso d’assalto il Campidoglio degli Stati Uniti il 6 gennaio, è stato ampiamente offline per più di una settimana. Ma anche in animazione sospesa, la casa online preferita da QAnon, i Proud Boys, e altri elementi dell’estrema destra americana sta ancora creando problemi.
Le decisioni di Amazon, Apple e Google di smettere di ospitare il sito e vietare agli utenti mobili di scaricare l’applicazione hanno scatenato grida di censura di Big Tech. A parte il primo emendamento e la politica di regolamentazione di internet, il modo in cui Parler ha fatto sgorgare i dati mentre usciva dalla porta solleva serie questioni di cybersicurezza, così come le preoccupazioni se altri attori di internet hanno violazioni di dati nel loro futuro.
Anche se è impossibile verificare senza sbirciare sotto il cappuccio di Parler – compito ora impossibile dal momento che il sito è offline – la narrazione prevalente è che una falla nella sicurezza di Parler (o più falle) ha permesso a un hacker white-hat di scaricare e archiviare tutti i dati degli utenti di Parler poco prima che Amazon Web Services staccasse la spina per ospitare il sito. Tra i dati presentati al pubblico (e alle forze dell’ordine) per accedere, in alcuni casi, i dati di localizzazione potenzialmente incriminanti.
Parler si basava su Worpress, il sistema di gestione dei contenuti più utilizzato al mondo. Questo ha portato alla speculazione che WordPress era parte della falla e che chiunque altro usi WordPress era in pericolo. Tuttavia, secondo un consenso generale di esperti di cybersecurity, tra cui diversi contattati per questo articolo, la violazione dei dati di Parler non è avvenuta semplicemente perché Parler ha utilizzato WordPress. Invece, i dati degli utenti di Parler sono trapelati perché il CEO John Matze e gli architetti del sito hanno lasciato grandi falle nelle API di Parler, il collegamento tra il front-end di Parler e i suoi dati utente.
Vedi anche: Elon Musk incolpa Facebook e Mark Zuckerberg per la rivolta del Campidoglio
La “convinzione predominante” è “che Parler è stato un progetto affrettato e povero, sostenuto da investitori di destra per diventare piuttosto grande prima di aver davvero costruito una base solida, tecnologicamente parlando”, ha detto all’Observer Andrew Zolides, un professore di comunicazione alla Xavier University che insegna corsi di design digitale. (Tra gli investitori di Parler c’è la miliardaria di destra Rebekah Mercer, che ha cercato di capitalizzare la rabbia di destra contro Twitter e Facebook per far crescere il pubblico di Parler)
“Mentre ogni sito web ha le sue preoccupazioni sulla privacy, Parler sembra un problema di diventare troppo grande, troppo veloce e non avere la capacità o il know-how tecnico per prepararsi effettivamente per questo”, ha aggiunto Zolides.
In un gradito sviluppo per chiunque sia preoccupato per l’anonimato o la sicurezza in generale, altri siti web possono evitare la trappola di Parler… a condizione che non siano relativamente nuove e piccole startup che cercano di competere con giganti affermati come Twitter e Facebook, che è esattamente quello che ha fatto Parler.
“Sì, Parler avrebbe potuto essere progettato meglio, ma realisticamente parlando, questo è il tipo di problema che accade quando si compete contro aziende mature che hanno investito miliardi e miliardi di dollari nei loro prodotti”, ha detto Joseph Steinberg, un esperto di sicurezza e autore di Cybersecurity for Dummies. “
Google, Apple e Amazon hanno sospeso l’app di social networking Parler. Parler è diventato indisponibile in App Store, Google Play e Amazon Web Services, secondo quanto riferito come detto controllo insufficiente sui post degli utenti che hanno incoraggiato la violenza, secondo i media. Foto Illustrazione di Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Prima, il metodo per il presunto “hack”. Prima che Parler fosse cancellato da AWS, un utente di Twitter con il nick @donk_enby ha capito come scaricare i dati degli utenti del sito web – il che, insieme a qualsiasi altra prova molto pubblica di utenti Parler che hanno violato il Campidoglio, aggredito gli ufficiali e pianificato ulteriori violenze, era potenzialmente molto incriminante, come riportato da Gizmodo.
@donk_enby alla fine ha catturato 56 terabyte di dati: foto, video e messaggi di testo, molti dei quali includono alcuni metadati GPS che collocano positivamente gli utenti Parler dentro e intorno al Campidoglio il 6 gennaio, anche in aree protette. Almeno alcuni di questi dati – 56.000 gigabyte – sono stati utilizzati per identificare e arrestare i partecipanti alla rivolta, secondo gli affidavit federali, ma non ci sono prove positive che i federali abbiano usato la tranche di dati di @donk_envy.
Ma come è stato fatto? Le prime speculazioni hanno detto che @donk_enby o un altro hacker potrebbe aver rubato le credenziali di amministrazione di Parler, che sarebbe un atto illegale. La teoria accettata è che, come riportato da The Startup e diversi esperti di sicurezza hanno delineato, invece, l’API di Parler è stata usata contro di esso per archiviare i dati del sito web – e per farlo rapidamente.
I designer di Parler non hanno limitato l’accesso all’API richiedendo l’autenticazione. Gli utenti non avevano bisogno di credenziali specifiche per accedere ai dati sul back-end. Questo ha lasciato aperta un’enorme porta sul retro.
La maggior parte dei siti web consapevoli del protocollo di sicurezza di base non consentono l’accesso all’API senza qualche forma di autenticazione dell’utente per garantire che la richiesta non sia dannosa. Come sottolineato da The Startup, due soluzioni di autenticazione comuni sono le chiavi API e i “token”, entrambi i quali richiedono alcune credenziali valide che permettono anche al sito web di sapere chi sta accedendo ai dati.
Nessun requisito di autenticazione ha lasciato una porta socchiusa. Oltre a questo, i progettisti di Parler non si sono preoccupati di aggiungere un secondo livello di difesa nel modo di limitare le tariffe, il che significa che invece di una porta socchiusa o lasciata aperta, la porta era spalancata.
La limitazione delle tariffe limita quanti dati un utente può accedere indipendentemente dalle credenziali. Gli utenti web possono aver visto 429 messaggi di errore “Too Many Request” in natura, che è un segno che ci sono stati troppi colpi o tentativi di passare attraverso la porta. Parler non ha avuto nemmeno questo, il che significa che una volta che il back end non protetto è stato accessibile, @donk_enby è stato anche in grado di archiviare i dati di Parler entro 48 ore. (Stranamente, come The Startup ha sottolineato, Amazon Web Service ha un’opzione firewall di base di cui Parler non sembra preoccuparsi.)
Infine, Parler ha anche permesso ai post che i suoi utenti credevano fossero stati cancellati di essere disponibili e facilmente scoperti una volta che qualcuno era nel back end. All’indomani dei disordini mortali, alcuni utenti di Parler, consapevoli delle risme di prove disponibili sul web, hanno incoraggiato gli altri a cancellare i loro post dal 6 gennaio.
Tutti i post di Parler avevano numeri sequenziali che aumentavano di 1. Anche quando quei post venivano cancellati dall’utente, rimanevano sul back end. @donk_enby apparentemente aveva bisogno di scrivere solo uno script molto semplice che trovasse e archiviasse ogni post, uno per uno. E poiché Parler non si è preoccupato di rimuovere i dati geo-tagged dalle foto e dai video e dai post prima che venissero caricati, anche quelle informazioni erano lì in attesa di essere archiviate.
È possibile che altri siti web che usano WordPress o altri software di hosting abbiano falle di sicurezza simili, ma potrebbero anche non essere abbastanza famosi da far sì che quelle falle di sicurezza diventino l’interesse di hacker vigilanti e quindi vengano violate.
“Non è raro che i siti web abbiano falle di sicurezza, a volte significative, che passano inosservate perché non sono abbastanza popolari da attirare più di semplici tentativi, spesso automatizzati, di comprometterli”, ha detto Erich Kron, un esperto di sicurezza con KnowBe4, un’importante azienda di soluzioni di sicurezza. “Quando il sito diventa rapidamente popolare, l’attenzione e la complessità di questi test aumentano, spesso portando alla scoperta di vulnerabilità.”
Un esempio recente di questo fenomeno, ha detto Kron, è stato Zoom. Quando la pandemia COVID-19 ha reso tutto il lavoro a distanza, le falle di sicurezza precedentemente non rilevate di Zoom sono state scoperte, sfruttate e poi rapidamente patchate. Ma con Parler, quando i fornitori di sicurezza hanno iniziato ad abbandonare il loro ex client, “ha lasciato Parler vulnerabile in un momento in cui erano anche un obiettivo di attaccanti, hacktivisti e altri”, ha aggiunto Kron.
Parler non è ancora morto. Durante il fine settimana, una versione di Parler è tornata sugli stessi server web che ospitano altri siti di frangia che accolgono discorsi di odio. A partire da martedì sera, la homepage del sito è una pagina di destinazione “difficoltà tecniche”; il fondatore del sito John Matze ha detto a Fox News che il sito prevede di essere completamente funzionale entro la fine del mese (anche se gli utenti mobili saranno probabilmente bloccati utilizzando la versione web-based invece di una app). E ci sono altre case per l’estrema destra online, anche se, come Zolides ha sottolineato, i forum focalizzati sulla “libertà di parola” come Gab sono stati più proattivi con la moderazione dei contenuti rispetto a Parler.
Potrebbero emergere ancora più dettagli su come esattamente @donk_enby ha avuto accesso ai dati di Parler e se la teoria della “porta aperta” era esattamente quello che è successo. (E in piedi separato dalla questione della sicurezza informatica sono questioni di etica; violazione o hack, i dati degli utenti di Parler sono stati comunque rubati, come ha detto Steinberg, e una rapina non è niente da festeggiare.)
Assumendo che i dati di Parler siano stati fatti con una cattiva progettazione, per ora, la storia online del 6 gennaio è una storia di autoincriminazione ripetuta: rivoltosi smascherati che vagano per il Campidoglio degli Stati Uniti, discutendo allegramente e apertamente i loro piani aggiuntivi sventati, pubblicando prove incriminanti su internet per tutto il tempo, su un sito web che non era preparato a mantenere tali prove anonime o sicure.