Parler, o rip-off do Twitter que serviu como uma das principais ferramentas de organização para os fanáticos do Donald Trump que invadiram o Capitólio dos EUA em 6 de janeiro, tem estado em grande parte offline há mais de uma semana. Mas mesmo em animação suspensa, a casa online preferida por QAnon, os Proud Boys, e outros elementos da extrema-direita americana ainda está criando problemas.
Decisões da Amazon, Apple, e Google para deixar de hospedar o site e proibir usuários móveis de baixar o aplicativo desencadearam gritos de censura da Big Tech. A primeira emenda e a política de regulamentação da internet à parte, a forma como Parler jorrou dados ao sair pela porta levanta sérias questões de segurança cibernética, bem como preocupações sobre se outros jogadores na internet têm violações de dados em seu futuro.
Embora seja impossível verificar sem espreitar sob o capô de Parler – uma tarefa agora impossível uma vez que o site está off-line – a narrativa predominante é que uma falha (ou falhas) de segurança de Parler permitiu que um hacker de chapéu branco baixasse e arquivasse todos os dados de usuários de Parler pouco antes do Amazon Web Services puxar o plugue para hospedar o site. Entre os dados apresentados para o público (e para a aplicação da lei) para acessar incluía, em alguns casos, dados de localização potencialmente incriminatórios.
Parler confiou no Worpress, o sistema de gerenciamento de conteúdo mais utilizado do mundo. Isso levou à especulação de que o WordPress era parte da falha e que qualquer outra pessoa usando o WordPress estava em perigo. No entanto, de acordo com um consenso geral de especialistas em cibersegurança, incluindo vários contactados para este artigo, a quebra de dados da Parler não aconteceu simplesmente porque a Parler usou o WordPress. Em vez disso, os dados dos usuários da Parler vazaram porque o CEO John Matze e os arquitetos do site deixaram grandes falhas na API da Parler, a ligação entre o front-end da Parler e seus dados de usuário.
Veja Também: Elon Musk Blames Facebook e Mark Zuckerberg For Capitol Riot
A “crença predominante” é “que Parler era um projeto apressado e pobre, impulsionado por investidores de direita para se tornar bastante grande antes que eles realmente tivessem construído uma base sólida, tecnologicamente falando”, disse Andrew Zolides, um professor de comunicação da Universidade Xavier que ensina cursos em design digital ao Observer. (Entre os investidores de Parler está a bilionária de direita Rebekah Mercer, que tentou capitalizar a raiva da direita no Twitter e Facebook para aumentar a audiência de Parler)
“Enquanto qualquer site tem suas preocupações com privacidade, Parler parece uma questão de ficar muito grande, muito rápido e não ter a capacidade ou conhecimento técnico para realmente se preparar para isso”, acrescentou Zolides.
Em um desenvolvimento bem-vindo para qualquer pessoa preocupada com o anonimato ou segurança em geral, outros websites podem evitar a armadilha da Parler… desde que não sejam relativamente novos e pequenos startups que tentam competir com gigantes estabelecidos como o Twitter e o Facebook, que é exactamente o que a Parler fez.
“Sim, Parler poderia ter sido melhor concebido, mas realisticamente falando, este é o tipo de problema que acontece quando você está competindo com empresas maduras que investiram bilhões e bilhões de dólares em seus produtos”, disse Joseph Steinberg, especialista em segurança e autor de Cybersecurity for Dummies. “Vai ser difícil desenhar tudo o que você quer de forma segura”
Google, Apple e Amazon suspenderam o aplicativo de redes sociais Parler. A Parler ficou indisponível na App Store, no Google Play e nos Serviços Web da Amazon, alegadamente devido ao controlo insuficiente sobre as mensagens dos utilizadores que encorajavam a violência, alegadamente por parte da imprensa. Foto Ilustração de Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
First, o método para o suposto “hack”. Antes do Parler ser arrancado do AWS, um usuário do Twitter com o handle @donk_enby descobriu como baixar os dados de usuário do site – todos eles, junto com qualquer outra evidência pública de usuários do Parler violando o Capitólio, agredindo oficiais e conspirando mais violência, eram potencialmente muito incriminatórios, como relatou Gizmodo.
@donk_enby acabou por apanhar 56 terabytes de dados: fotos, vídeos, e mensagens de texto, muitos dos quais incluíam alguns metadados GPS que colocaram positivamente os utilizadores Parler no Capitólio e à volta dele em 6 de Janeiro, incluindo em áreas seguras. Pelo menos alguns desses dados56.000 gigabytes – foram usados para identificar e prender participantes de motim, de acordo com declarações federais, mas não há provas positivas de que os federais usaram a parcela de dados @donk_envy.
Mas como isso foi feito? Especula-se que @donk_enby ou outro hacker pode ter roubado as credenciais administrativas do Parler, o que seria um ato ilegal. A teoria aceita é que, como The Startup relatou e vários especialistas em segurança delinearam, em vez disso, a própria API do Parler foi usada contra ela para arquivar os dados do site e para fazê-lo rapidamente.
Os designers do Parler não restringiram o acesso à API exigindo autenticação. Os usuários não precisavam de credenciais específicas para acessar os dados no back end. Isso deixou uma enorme porta traseira aberta.
A maioria dos sites conscientes do protocolo de segurança básico não permitem o acesso à API sem alguma forma de autenticação de usuário para garantir que a solicitação não seja maliciosa. Como a Startup apontou, duas soluções de autenticação comuns são chaves API e “tokens”, ambas requerendo algumas credenciais válidas que também permitem ao website saber quem está acessando os dados.
Não há necessidade de autenticação, deixando uma porta entreaberta. Além disso, os designers da Parler não se deram ao trabalho de adicionar uma segunda camada de defesa no sentido de limitar a taxa – ou seja, ao invés de uma porta entreaberta ou rachada, a porta estava bem aberta.
Limitar a taxa de dados que um usuário pode acessar, independentemente das credenciais. Usuários da Web podem ter visto 429 mensagens de erro “Demasiados pedidos” na natureza, o que é um sinal de que houve muitas batidas ou tentativas de passar através da porta. Parler também não tinha isto, o que significa que uma vez que o back end não seguro foi acessado, @donk_enby também foi capaz de arquivar os dados de Parler dentro de 48 horas. (Estranhamente, como The Startup apontou, o Amazon Web Service tem uma opção básica de firewall que Parler não pareceu incomodar.)
Finalmente, Parler também permitiu que os posts de seus usuários acreditavam ter sido deletados e facilmente descobertos quando alguém estava no back-end. No rescaldo dos motins mortais, alguns usuários de Parler, conscientes das resmas de evidências disponíveis na web, encorajaram outros a apagar suas postagens de 6.
Todas as postagens de Parler receberam números seqüenciais que aumentaram em 1. Mesmo quando essas postagens foram apagadas pelo usuário, elas permaneceram no back-end. @donk_enby aparentemente precisou escrever apenas um script muito básico que encontrou e arquivou cada postagem, uma a uma. E como o Parler não se preocupou em remover dados geo-tagged de fotos, vídeos e posts antes de serem carregados, essa informação também estava lá esperando para ser arquivada.
É possível que outros sites que usam WordPress ou outro software de hospedagem tenham falhas de segurança similares, mas também podem não ser infames o suficiente para que essas falhas de segurança se tornem o interesse de hackers vigilantes e, portanto, sejam violadas.
“Não é raro os websites terem falhas de segurança, por vezes significativas, que passam despercebidas porque não são suficientemente populares para atraírem mais do que simples tentativas, muitas vezes automatizadas, de as comprometer”, disse Erich Kron, um especialista em segurança da KnowBe4, uma proeminente empresa de soluções de segurança. “Quando o site se torna popular rapidamente, o foco e a complexidade desses testes aumentam, muitas vezes levando à descoberta de vulnerabilidades”
Um exemplo recente desse fenômeno, disse Kron, foi o Zoom. Quando a pandemia COVID-19 fez todo o trabalho remoto, as falhas de segurança anteriormente não detectadas do Zoom foram descobertas, exploradas e então rapidamente corrigidas. Mas com Parler, quando os vendedores de segurança começaram a abandonar o seu antigo cliente, “isso deixou Parler vulnerável numa altura em que eles também eram alvo de atacantes, hacktivistas e outros”, acrescentou Kron.
Parler ainda não está morto. Durante o fim de semana, alguma versão de Parler retornou nos mesmos servidores web que hospedam outros sites marginais, acolhendo o discurso de ódio. A partir de terça-feira à noite, a página inicial do site é uma página de aterragem “dificuldades técnicas”; o fundador do site, John Matze, disse à Fox News que o site planeja estar totalmente funcional até o final do mês (embora os usuários móveis provavelmente ficarão presos usando a versão baseada na web, em vez de um aplicativo). E há outras casas para a extrema direita online – embora, como Zolides apontou, fóruns focados em “liberdade de expressão” como Gab foram mais proativos com moderação de conteúdo do que Parler.
Mais detalhes ainda podem emergir sobre exatamente como @donk_enby acessou os dados de Parler e se a teoria da “porta aberta” foi exatamente o que aconteceu. (E ficar separado da questão da cibersegurança são questões de ética; violação ou hack, os dados do usuário de Parler ainda foram roubados, como disse Steinberg, e um assalto não é nada para comemorar.)
Assumindo que os dados de Parler foram feitos por má concepção, por enquanto, a história online de 6 de janeiro é uma de auto-incriminação repetida: desmascarados desordeiros vagueando pelo Capitólio dos EUA, alegremente e abertamente discutindo seus planos adicionais frustrados, postando provas incriminatórias na internet o tempo todo, em um site que não estava preparado para manter essas provas anônimas ou seguras.