Parler, imitația Twitter care a servit drept unul dintre principalele instrumente de organizare pentru fanaticii lui Donald Trump care au luat cu asalt Capitoliul Statelor Unite pe 6 ianuarie, a fost în mare parte offline timp de mai bine de o săptămână. Dar chiar și în animație suspendată, casa online preferată de QAnon, Proud Boys și alte elemente ale extremei drepte americane continuă să creeze probleme.
Deciziile luate de Amazon, Apple și Google de a renunța la găzduirea site-ului și de a interzice utilizatorilor de telefoane mobile să descarce aplicația au declanșat strigăte de cenzură din partea Big Tech. Lăsând la o parte primul amendament și politica de reglementare a internetului, modul în care Parler a scurs date pe ușă ridică întrebări serioase privind securitatea cibernetică, precum și îngrijorări cu privire la faptul că și alți actori de pe internet au în viitor breșe de date.
Chiar dacă este imposibil de verificat fără a trage cu ochiul sub capota lui Parler – o sarcină acum imposibilă, deoarece site-ul este offline – narațiunea predominantă este că un defect (sau defecte) de securitate Parler a permis unui hacker cu pălărie albă să descarce și să arhiveze toate datele utilizatorilor Parler cu puțin timp înainte ca Amazon Web Services să scoată din funcțiune găzduirea site-ului. Printre datele prezentate pentru a fi accesate de public (și de forțele de ordine) se numărau, în unele cazuri, date de localizare potențial incriminatoare.
Parler s-a bazat pe Worpress, cel mai utilizat sistem de gestionare a conținutului din lume. Acest lucru a dus la speculații potrivit cărora WordPress a fost parte a defectului și că oricine altcineva care folosește WordPress era în pericol. Cu toate acestea, conform unui consens general al experților în securitate cibernetică, inclusiv al câtorva dintre cei contactați pentru acest articol, încălcarea datelor lui Parler nu s-a întâmplat doar pentru că Parler a folosit WordPress. În schimb, datele utilizatorilor Parler s-au scurs pentru că CEO-ul John Matze și arhitecții site-ului au lăsat lacune majore în API-ul Parler, legătura dintre front-end-ul Parler și datele sale de utilizator.
Vezi și: Elon Musk dă vina pe Facebook și Mark Zuckerberg pentru revolta de la Capitoliu
„Credința predominantă” este „că Parler a fost un design grăbit și slab susținut de investitori de dreapta pentru a deveni destul de mare înainte de a fi construit cu adevărat o fundație solidă, din punct de vedere tehnologic”, a declarat pentru Observer Andrew Zolides, profesor de comunicare la Universitatea Xavier, care predă cursuri de design digital. (Printre investitorii lui Parler se numără miliardarul de dreapta Rebekah Mercer, care a încercat să profite de furia extremei drepte față de Twitter și Facebook pentru a crește audiența lui Parler.)
„În timp ce orice site web are preocupările sale legate de confidențialitate, Parler pare a fi o problemă de a deveni prea mare, prea repede și de a nu avea capacitatea sau cunoștințele tehnice pentru a se pregăti de fapt pentru asta”, a adăugat Zolides.
Într-o evoluție binevenită pentru oricine este preocupat de anonimat sau de securitate în general, alte site-uri web pot evita capcana Parler… cu condiția să nu fie startup-uri relativ noi și mici care încearcă să concureze cu giganți consacrați precum Twitter și Facebook, care este exact ceea ce a făcut Parler.
„Da, Parler ar fi putut fi proiectat mai bine, dar, în mod realist vorbind, acesta este genul de problemă care apare atunci când concurezi cu companii mature care au investit miliarde și miliarde de dolari în produsele lor”, a declarat Joseph Steinberg, expert în securitate și autor al cărții Cybersecurity for Dummies. „Îți va fi greu să proiectezi tot ceea ce îți dorești într-o manieră sigură.”
Google, Apple și Amazon au suspendat aplicația de rețele sociale Parler. Parler a devenit indisponibilă în App Store, Google Play și Amazon Web Services, după cum s-a spus, ca urmare a controlului insuficient asupra postărilor utilizatorilor care au încurajat violența, potrivit presei. Ilustrație foto: Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
În primul rând, metoda pentru presupusul „hack”. Înainte ca Parler să fie scos din AWS, un utilizator Twitter cu pseudonimul @donk_enby și-a dat seama cum să descarce datele de utilizator ale site-ului – toate acestea, împreună cu orice alte dovezi foarte publice ale utilizatorilor Parler care au pătruns în Capitoliu, au atacat ofițeri și au plănuit alte violențe, au fost potențial foarte incriminatoare, după cum a raportat Gizmodo.
@donk_enby a smuls în cele din urmă date în valoare de 56 de terabytes: fotografii, videoclipuri și mesaje de text, multe dintre acestea incluzând unele metadate GPS care plasează în mod pozitiv utilizatorii Parler în interiorul și în jurul Capitoliului pe 6 ianuarie, inclusiv în zonele securizate. Cel puțin o parte din aceste date – 56.000 de gigaocteți – au fost folosite pentru a identifica și a aresta participanții la revoltă, conform declarațiilor federale, dar nu există nicio dovadă pozitivă că federalii au folosit tranșa de date a lui @donk_envy.
Dar cum s-a făcut acest lucru? Primele speculații au zvonit că @donk_enby sau un alt hacker ar fi putut fura acreditările de administrator Parler, ceea ce ar fi un act ilegal. Teoria acceptată este că, așa cum a raportat The Startup și cum au subliniat mai mulți experți în securitate, în schimb, propriul API al lui Parler a fost folosit împotriva acestuia pentru a arhiva datele site-ului – și pentru a face acest lucru rapid.
Proiectanții lui Parler nu au restricționat accesul la API prin solicitarea de autentificare. Utilizatorii nu au avut nevoie de acreditări specifice pentru a accesa datele din back-end. Acest lucru a lăsat deschisă o ușă din spate enormă.
Majoritatea site-urilor web conștiente de protocolul de securitate de bază nu permit accesul la API fără o anumită formă de autentificare a utilizatorului pentru a se asigura că solicitarea nu este malițioasă. După cum a subliniat The Startup, două soluții comune de autentificare sunt cheile API și „token-urile”, ambele necesitând niște credențiale valide care permit, de asemenea, site-ului web să știe cine accesează datele.
Nici o cerință de autentificare nu a lăsat o ușă întredeschisă. În plus, proiectanții lui Parler nu s-au deranjat să adauge un al doilea strat de apărare în modul de limitare a ratei – ceea ce înseamnă că, în loc de o ușă întredeschisă sau lăsată crăpată, ușa era larg deschisă.
Limitarea ratei limitează cantitatea de date pe care un utilizator o poate accesa indiferent de acreditări. Este posibil ca utilizatorii web să fi văzut 429 de mesaje de eroare „Too Many Request” (Prea multe solicitări) în sălbăticie, ceea ce reprezintă un semn că au fost prea multe bătăi sau încercări de a trece prin ușă. Nici Parler nu a avut acest lucru, ceea ce înseamnă că, odată ce a fost accesat back-end-ul nesecurizat, @donk_enby a putut, de asemenea, să arhiveze datele lui Parler în 48 de ore. (În mod ciudat, după cum a subliniat The Startup, Amazon Web Service are o opțiune de firewall de bază cu care Parler nu părea să se deranjeze.)
În cele din urmă, Parler a permis, de asemenea, ca postările pe care utilizatorii săi le credeau șterse să fie atât disponibile, cât și ușor de descoperit odată ce cineva a intrat în back-end. În urma revoltelor mortale, unii utilizatori Parler, conștienți de multitudinea de dovezi disponibile pe web, i-au încurajat pe alții să își șteargă postările din 6 ianuarie.
Toate postările din Parler au primit numere secvențiale care creșteau cu 1. Chiar și atunci când aceste postări erau șterse de către utilizator, ele rămâneau în back-end. Se pare că @donk_enby a trebuit să scrie doar un script foarte simplu care a găsit și a arhivat fiecare postare, una câte una. Și din moment ce Parler nu s-a deranjat să elimine datele geo-etichetate din fotografii și videoclipuri și postări înainte de a fi încărcate, acele informații stăteau, de asemenea, acolo așteptând să fie arhivate.
Este posibil ca și alte site-uri web care folosesc WordPress sau alt software de găzduire în totalitate să aibă defecte de securitate similare, dar, de asemenea, ar putea să nu fie suficient de faimoase pentru ca aceste defecte de securitate să devină interesul hackerilor justițiari și astfel să fie încălcate.
„Nu este neobișnuit ca site-urile web să aibă defecte de securitate, uneori semnificative, care trec neobservate pentru că nu sunt suficient de populare pentru a atrage mai mult decât simple încercări, adesea automate, de a le compromite”, a declarat Erich Kron, expert în securitate la KnowBe4, o firmă importantă de soluții de securitate. „Când site-ul devine popular rapid, concentrarea și complexitatea acestor teste cresc, ceea ce duce adesea la descoperirea unor vulnerabilități.”
Un exemplu recent al acestui fenomen, a spus Kron, a fost Zoom. Când pandemia COVID-19 a făcut ca toată lumea să lucreze de la distanță, defectele de securitate ale Zoom, nedetectate anterior, au fost descoperite, exploatate și apoi corectate rapid. Dar în cazul lui Parler, când furnizorii de securitate au început să renunțe la clientul lor de odinioară, „a lăsat Parler vulnerabil într-un moment în care era, de asemenea, o țintă a atacatorilor, a hacktiviștilor și a altora”, a adăugat Kron.
Parler nu este încă mort. În weekend, o versiune oarecare a lui Parler a revenit pe aceleași servere web care găzduiesc alte site-uri marginale care salută discursul de ură. Începând de marți seară, pagina de pornire a site-ului este o pagină de destinație „dificultăți tehnice”; fondatorul site-ului, John Matze, a declarat pentru Fox News că site-ul intenționează să fie complet funcțional până la sfârșitul lunii (deși utilizatorii de dispozitive mobile vor fi probabil blocați folosind versiunea bazată pe web în loc de o aplicație). Și există și alte cămine pentru extrema dreaptă online – deși, așa cum a subliniat Zolides, forumurile axate pe „libertatea de exprimare”, cum ar fi Gab, au fost mai proactive în ceea ce privește moderarea conținutului decât Parler.
Este posibil să apară încă mai multe detalii cu privire la modul exact în care @donk_enby a accesat datele lui Parler și dacă teoria „ușilor deschise” a fost exact ceea ce s-a întâmplat. (Și, stând separat de chestiunea securității cibernetice, există probleme de etică; încălcare sau hack, datele utilizatorilor lui Parler au fost totuși furate, așa cum a spus Steinberg, iar un jaf nu este ceva de sărbătorit.)
Să presupunem că datele lui Parler au fost făcute cu un design greșit, deocamdată, povestea online a zilei de 6 ianuarie este una de autoincriminare repetată: răsculați demascați care se plimbă prin Capitoliul SUA, discutând cu bucurie și în mod deschis despre planurile lor suplimentare eșuate, postând dovezi incriminatoare pe internet în tot acest timp, pe un site web care nu era pregătit să păstreze aceste dovezi anonime sau securizate.
.