Parler, Twitter rip-off, który służył jako jedno z głównych narzędzi organizacyjnych dla fanatyków Donalda Trumpa, którzy szturmowali Kapitol USA 6 stycznia, został w dużej mierze offline na więcej niż tydzień. Ale nawet w zawieszonej animacji, preferowany dom online dla QAnon, Proud Boys i innych elementów amerykańskiej skrajnej prawicy wciąż stwarza problemy.
Decyzje Amazon, Apple i Google, aby zrezygnować z hostingu witryny i zakazać użytkownikom mobilnym pobierania aplikacji wywołały krzyki cenzury Big Tech. Pierwsza poprawka i polityka regulacji Internetu na bok, sposób Parler tryskał danych na jego drodze do drzwi budzi poważne pytania cyberbezpieczeństwa, jak również obawy o to, czy inni gracze w Internecie mają naruszenia danych w ich przyszłości.
Chociaż jest to niemożliwe do zweryfikowania bez zaglądania pod maską Parler-a zadanie teraz niemożliwe, ponieważ strona jest offline-the przeważająca narracja jest to, że Parler bezpieczeństwa wada (lub wady) pozwolił white-hat haker do pobrania i archiwizacji wszystkich danych Parler użytkownika krótko przed Amazon Web Services wyciągnął wtyczkę na hosting witryny. Wśród danych przedstawionych dla społeczeństwa (i organów ścigania), aby uzyskać dostęp, w niektórych przypadkach, potencjalnie obciążające dane lokalizacji.
Parler opierał się na Worpress, najbardziej na świecie używany system zarządzania treścią. To doprowadziło do spekulacji, że WordPress był częścią wady i że każdy inny używający WordPressa był w niebezpieczeństwie. Jednak według ogólnego konsensusu ekspertów ds. bezpieczeństwa cybernetycznego, w tym kilku, z którymi skontaktowano się w sprawie tego artykułu, naruszenie danych Parlera nie nastąpiło tylko dlatego, że Parler używał WordPressa. Zamiast tego, Parler’s dane użytkownika wyciekły, ponieważ CEO John Matze i architektów witryny pozostawił poważne wady w Parler’s API, link między Parler’s front-end i jego danych użytkownika.
Zobacz także: Elon Musk Blames Facebook i Mark Zuckerberg For Capitol Riot
The „dominujące przekonanie” jest „że Parler był pośpieszny, biedny projekt buoyed przez prawicowych inwestorów, aby stać się dość duży, zanim naprawdę zbudował solidne podstawy, technologicznie mówiąc,” Andrew Zolides, profesor komunikacji na Uniwersytecie Xavier, który uczy kursy w projektowaniu cyfrowym powiedział Observer. (Wśród inwestorów Parlera jest prawicowa miliarderka Rebekah Mercer, która próbowała wykorzystać gniew prawicy na Twitterze i Facebooku, aby zwiększyć widownię Parlera.)
„Podczas gdy każda strona internetowa ma swoje obawy dotyczące prywatności, Parler wydaje się być kwestią zbyt dużego, zbyt szybkiego wzrostu i braku możliwości lub technicznego know-how, aby faktycznie przygotować się do tego,” dodał Zolides.
W mile widzianym rozwoju dla każdego, kto martwi się o anonimowości lub bezpieczeństwa w ogóle, inne strony internetowe mogą uniknąć Parler pułapkę … pod warunkiem, że nie są stosunkowo nowe i małe startupy, które próbują konkurować z ustalonymi gigantów jak Twitter i Facebook, który jest dokładnie to, co Parler zrobił.
„Tak, Parler mógł być lepiej zaprojektowany, ale realistycznie rzecz biorąc, jest to rodzaj problemu, który zdarza się, gdy jesteś konkurencyjny wobec dojrzałych firm, które zainwestowały miliardy i miliardy dolarów w swoje produkty,” powiedział Joseph Steinberg, ekspert ds. bezpieczeństwa i autor Cybersecurity for Dummies. „Będziesz miał trudny czas projektowania wszystko, co chcesz w bezpiecznej mody.”
Google, Apple i Amazon zawiesił aplikacji sieci społecznościowej Parler. Parler stał się niedostępny w App Store, Google Play i Amazon Web Services, podobno jak powiedział niewystarczającej kontroli nad postami użytkowników, które zachęcały do przemocy, podobno przez media. Photo Illustration by Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Po pierwsze, metoda na rzekomy „hack”. Zanim Parler został usunięty z AWS, użytkownik Twittera o nicku @donk_enby zorientował się, jak pobrać dane użytkowników strony – wszystko to, wraz z innymi bardzo publicznymi dowodami na to, że użytkownicy Parlera włamali się na Kapitol, zaatakowali oficerów i planowali dalszą przemoc, było potencjalnie bardzo obciążające, jak donosi Gizmodo.
@donk_enby w końcu zdobył 56 terabajtów danych: zdjęć, filmów i postów tekstowych, z których wiele zawierało pewne metadane GPS, które pozytywnie umiejscowiły użytkowników Parlera w i wokół Kapitolu 6 stycznia, w tym w zabezpieczonych obszarach. Przynajmniej część z tych danych – 56,000 gigabajtów – została użyta do identyfikacji i zatrzymania uczestników zamieszek, zgodnie z federalnymi oświadczeniami, ale nie ma pozytywnego dowodu, że federalni użyli transzy danych @donk_envy.
Ale jak to zostało zrobione? Wczesne spekulacje brzęczały, że @donk_enby lub inny haker mógł ukraść poświadczenia administratora Parler, co byłoby nielegalnym działaniem. Przyjęta teoria jest taka, że, jak donosi The Startup i kilku ekspertów ds. bezpieczeństwa nakreśliło, zamiast tego, własne API Parlera zostało użyte przeciwko niemu, aby zarchiwizować dane witryny – i zrobić to szybko.
Projektanci Parlera nie ograniczyli dostępu do API poprzez wymaganie uwierzytelnienia. Użytkownicy nie potrzebowali określonych poświadczeń, aby uzyskać dostęp do danych na zapleczu. To pozostawiło ogromne tylne drzwi otwarte.
Większość stron internetowych świadomych podstawowego protokołu bezpieczeństwa nie pozwala na dostęp do API bez jakiejś formy uwierzytelnienia użytkownika, aby upewnić się, że żądanie nie jest złośliwe. Jak The Startup wskazał, dwa wspólne rozwiązania uwierzytelniania są klucze API i „tokeny”, z których oba wymagają pewnych ważnych danych uwierzytelniających, które również pozwalają stronie internetowej, aby wiedzieć, kto jest dostęp do danych.
Nie wymóg uwierzytelniania pozostawił drzwi uchylone. Na dodatek, projektanci Parlera nie zawracali sobie głowy dodawaniem drugiej warstwy obrony w postaci ograniczania stawek, co oznacza, że zamiast drzwi uchylonych lub pozostawionych pękniętych, drzwi były szeroko otwarte.
Ograniczanie stawek ogranicza ilość danych, do których użytkownik może uzyskać dostęp niezależnie od poświadczeń. Użytkownicy sieci mogli zobaczyć 429 komunikatów o błędach „Too Many Request” na wolności, co jest znakiem, że było zbyt wiele puknięć lub prób przejścia przez drzwi. Parler również tego nie miał, co oznaczało, że po uzyskaniu dostępu do niezabezpieczonego zaplecza, @donk_enby był w stanie zarchiwizować dane Parlera w ciągu 48 godzin. (Co dziwne, jak zauważył The Startup, Amazon Web Service ma podstawową opcję firewalla, którą Parler nie zawracał sobie głowy.)
Wreszcie, Parler pozwolił również na to, aby posty, które jego użytkownicy uważali za usunięte, były zarówno dostępne, jak i łatwo odkryte, gdy ktoś był na zapleczu. W następstwie śmiertelnych zamieszek, niektórzy użytkownicy Parlera, świadomi mnóstwa dowodów dostępnych w sieci, zachęcali innych do usuwania swoich postów od 6 stycznia.
Wszystkim postom Parlera nadawano kolejne numery, które wzrastały o 1. Nawet gdy te posty były usuwane przez użytkownika, pozostawały na zapleczu. @donk_enby najwyraźniej potrzebował napisać tylko bardzo podstawowy skrypt, który odnalazł i zarchiwizował każdy post, jeden po drugim. A ponieważ Parler nie zawracał sobie głowy usuwaniem danych geotagowanych ze zdjęć, filmów i postów przed ich załadowaniem, te informacje również tam siedziały i czekały na archiwizację.
Możliwe, że inne strony internetowe, które używają WordPressa lub innego oprogramowania hostingowego mogą mieć podobne błędy w zabezpieczeniach, ale mogą też nie być wystarczająco sławne, aby te błędy w zabezpieczeniach stały się przedmiotem zainteresowania czujnych hakerów i w ten sposób zostały złamane.
„To nie jest rzadkością dla stron internetowych, aby mieć wady bezpieczeństwa, czasami znaczące, które pozostają niezauważone, ponieważ nie są one wystarczająco popularne, aby wyciągnąć więcej niż proste, często zautomatyzowane, próby ich naruszenia,” powiedział Erich Kron, ekspert ds. bezpieczeństwa z KnowBe4, prominentnej firmy rozwiązań bezpieczeństwa. „Kiedy strona staje się popularna szybko, ostrość i złożoność tych testów wzrasta, często prowadząc do odkrycia luk.”
Jednym z ostatnich przykładów tego zjawiska, Kron powiedział, był Zoom. Kiedy pandemia COVID-19 sprawiła, że wszyscy pracowali zdalnie, odkryto, wykorzystano i szybko załatano wcześniej niewykryte luki w zabezpieczeniach Zoom. Ale w przypadku Parlera, kiedy dostawcy zabezpieczeń zaczęli porzucać swojego dawnego klienta, „pozostawili Parlera bezbronnego w czasie, kiedy był on również celem atakujących, haktywistów i innych”, dodał Kron.
Parler nie jest jeszcze całkiem martwy. W weekend, pewna wersja Parlera powróciła na te same serwery internetowe, które goszczą inne obskurne strony witające mowę nienawiści. Od wtorkowego wieczoru, strona główna witryny jest stroną „trudności technicznych”; założyciel witryny John Matze powiedział Fox News, że strona ma być w pełni funkcjonalna do końca miesiąca (chociaż użytkownicy telefonów komórkowych prawdopodobnie utkną używając wersji internetowej zamiast aplikacji). I są inne domy dla internetowej skrajnej prawicy – chociaż, jak zauważył Zolides, fora skupione na „wolnej mowie”, takie jak Gab, były bardziej proaktywne w moderowaniu treści niż Parler.
Więcej szczegółów może się jeszcze pojawić na temat tego, jak @donk_enby uzyskał dostęp do danych Parlera i czy teoria „otwartych drzwi” była dokładnie tym, co się stało. (I stojąc oddzielnie od kwestii cyberbezpieczeństwa są kwestie etyki; naruszenie lub hack, dane użytkownika Parler zostały skradzione, jak powiedział Steinberg, a heist nie jest niczym do świętowania.)
Zakładając, że dane Parlera zostały zrobione przez zły projekt, na razie, online historia z 6 stycznia jest jednym z powtarzających się samooskarżenia: zdemaskowane zamieszki wędrujące Kapitolu USA, radośnie i otwarcie omawiając ich udaremnione dodatkowe plany, delegowanie obciążających dowodów do Internetu cały czas, do strony internetowej, która nie była przygotowana do utrzymania tego dowodu anonimowy lub bezpieczny.
.