Parler, Twitter-avtrycket som fungerade som ett av de viktigaste organisationsverktygen för Donald Trump-fanatikerna som stormade det amerikanska kapitoliumet den 6 januari, har i stort sett varit offline i mer än en vecka. Men även om den är i viloläge skapar QAnon, Proud Boys och andra delar av den amerikanska extremhögern fortfarande problem.
Amazons, Apples och Googles beslut att sluta vara värd för sajten och att förbjuda mobilanvändare att ladda ner appen har utlöst rop på censur från Big Tech. Bortsett från första tillägget och politiken för internetreglering väcker det sätt på vilket Parler sprider data på sin väg ut genom dörren allvarliga frågor om cybersäkerhet och oro för om andra aktörer på internet har dataintrång i sin framtid.
Och även om det är omöjligt att verifiera utan att kika under Parlers huva – en uppgift som nu är omöjlig eftersom webbplatsen är offline – är den rådande berättelsen att en eller flera säkerhetsbrister i Parler gjorde det möjligt för en hackare att ladda ner och arkivera alla Parlers användardata strax innan Amazon Web Services drog ur kontakten för att vara värd för webbplatsen. Bland de uppgifter som allmänheten (och brottsbekämpande myndigheter) fick tillgång till fanns i vissa fall potentiellt belastande lokaliseringsuppgifter.
Parler använde sig av Worpress, världens mest använda innehållshanteringssystem. Det har lett till spekulationer om att WordPress var en del av felet och att alla andra som använder WordPress var i fara. Men enligt en allmän konsensus bland cybersäkerhetsexperter, inklusive flera som kontaktades för den här artikeln, skedde Parlers dataintrång inte bara för att Parler använde WordPress. I stället läckte Parlers användardata eftersom vd John Matze och webbplatsens arkitekter lämnade stora brister i Parlers API, länken mellan Parlers front-end och användardata.
Se även: Den ”förhärskande uppfattningen” är ”att Parler var en brådskande, dålig design som fick stöd av högerinriktade investerare för att bli ganska stor innan de verkligen hade byggt en solid grund, tekniskt sett”, säger Andrew Zolides, professor i kommunikation vid Xavier University som ger kurser i digital design, till Observer. (Bland Parlers investerare finns den högerextrema miljardären Rebekah Mercer, som försökte dra nytta av högerextremisternas ilska mot Twitter och Facebook för att öka Parlers publik.)
”Även om alla webbplatser har problem med integritetsskyddet verkar Parler vara en fråga om att bli för stor, för snabbt och att inte ha förmågan eller den tekniska kunskapen för att förbereda sig för detta”, tillägger Zolides.
En välkommen utveckling för alla som oroar sig för anonymitet eller säkerhet i allmänhet, kan andra webbplatser undvika Parlerfällan… förutsatt att de inte är relativt nya och små nystartade företag som försöker konkurrera med etablerade jättar som Twitter och Facebook, vilket är precis vad Parler gjorde.
”Ja, Parler kunde ha varit bättre utformad, men realistiskt sett är detta den typ av problem som uppstår när man konkurrerar med mogna företag som har investerat miljarder och åter miljarder dollar i sina produkter”, säger Joseph Steinberg, säkerhetsexpert och författare till Cybersecurity for Dummies. ”Du kommer att ha svårt att utforma allt du vill ha på ett säkert sätt.”
Google, Apple och Amazon har stängt av den sociala nätverksappen Parler. Parler blev otillgänglig i App Store, Google Play och Amazon Web Services, enligt uppgift som sade otillräcklig kontroll över användarinlägg som uppmuntrade till våld, enligt uppgift av media. Fotoillustration av Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Först, metoden för det påstådda ”hacket”. Innan Parler togs bort från AWS listade en Twitter-användare med namnet @donk_enby ut hur man kunde ladda ner webbplatsens användardata – allt detta, tillsammans med alla andra mycket offentliga bevis på att Parler-användare bröt sig in i Capitolium, attackerade poliser och planerade ytterligare våld, var potentiellt mycket belastande, som Gizmodo rapporterade.
@donk_enby fick så småningom tag på 56 terabyte data: foton, videor och textinlägg, varav många innehöll GPS-metadata som tydligt visade att Parler-användare befann sig i och omkring Capitolium den 6 januari, även i säkrade områden. Åtminstone en del av dessa data – 56 000 gigabyte – har använts för att identifiera och gripa deltagare i upploppet, enligt federala affidavits, men det finns inga bevis för att federala myndigheter använde @donk_envys datatranch.
Men hur gick det till? Tidiga spekulationer gick ut på att @donk_enby eller en annan hackare kan ha stulit Parlers administratörsuppgifter, vilket skulle vara en olaglig handling. Den vedertagna teorin är att, som The Startup rapporterade och flera säkerhetsexperter har beskrivit, istället användes Parlers eget API mot Parler för att arkivera webbplatsens data – och för att göra det snabbt.
Parlers konstruktörer begränsade inte åtkomsten till API:et genom att kräva autentisering. Användarna behövde inte specifika autentiseringsuppgifter för att få tillgång till data på baksidan. Det lämnade en enorm bakdörr öppen.
De flesta webbplatser som känner till grundläggande säkerhetsprotokoll tillåter inte åtkomst till API:et utan någon form av användarautentisering för att säkerställa att begäran inte är skadlig. Som The Startup påpekade är två vanliga autentiseringslösningar API-nycklar och ”tokens”, som båda kräver vissa giltiga autentiseringsuppgifter som också gör det möjligt för webbplatsen att veta vem som får tillgång till data.
Ingen autentiseringskrav lämnade en dörr på glänt. Dessutom brydde sig inte Parlers konstruktörer om att lägga till ett andra försvarslager i form av hastighetsbegränsning – vilket innebär att dörren inte står på glänt eller är sprucken, utan står vidöppen.
Den begränsande hastighetsbegränsningen sätter ett tak för hur mycket data en användare kan få tillgång till oberoende av autentiseringsuppgifter. Webbanvändare kan ha sett 429 felmeddelanden ”Too Many Request” ute i naturen, vilket är ett tecken på att det har varit för många knackningar eller försök att passera genom dörren. Parler hade inte heller detta, vilket innebar att när den osäkrade baksidan väl var åtkomlig kunde @donk_enby också arkivera Parlers data inom 48 timmar. (Märkligt nog, som The Startup påpekade, har Amazon Web Service ett grundläggande brandväggsalternativ som Parler inte tycktes bry sig om.)
Slutligt lät Parler också inlägg som dess användare trodde var raderade vara både tillgängliga och lätt upptäckta när någon väl var inne i bakändan. I efterdyningarna av de dödliga upploppen uppmuntrade vissa Parler-användare, som var medvetna om de mängder av bevis som fanns tillgängliga på webben, andra att radera sina inlägg från och med den 6 januari.
Alla Parler-inlägg fick löpande nummer som ökade med 1. Även när dessa inlägg raderades av användaren fanns de kvar i backend. @donk_enby behövde tydligen bara skriva ett mycket grundläggande skript som hittade och arkiverade varje inlägg, ett efter ett. Och eftersom Parler inte brydde sig om att ta bort geomärkta uppgifter från foton, videor och inlägg innan de laddades upp, satt den informationen också där och väntade på att arkiveras.
Det är möjligt att andra webbplatser som helt och hållet använder WordPress eller annan värdprogramvara kan ha liknande säkerhetsbrister, men de kanske inte heller är tillräckligt beryktade för att dessa säkerhetsbrister ska bli föremål för hakkarnas intresse och därmed bli kränkta.
”Det är inte ovanligt att webbplatser har säkerhetsbrister, ibland betydande sådana, som går obemärkt förbi eftersom de inte är tillräckligt populära för att locka till sig mer än enkla, ofta automatiserade, försök att kompromettera dem”, säger Erich Kron, säkerhetsexpert på KnowBe4, ett framstående företag för säkerhetslösningar. ”När webbplatsen snabbt blir populär ökar fokus och komplexiteten i dessa tester, vilket ofta leder till att sårbarheter upptäcks.”
Ett aktuellt exempel på detta fenomen, sade Kron, var Zoom. När COVID-19-pandemin gjorde att allt arbete på distans blev upptäckt, utnyttjat och sedan snabbt korrigerat, upptäcktes och utnyttjades Zooms tidigare oupptäckta säkerhetsbrister. Men när säkerhetsleverantörerna började dumpa sin tidigare klient, ”blev Parler sårbart vid en tidpunkt då de också var ett mål för angripare, hacktivister och andra”, tillade Kron.
Parler är inte helt dött än. Under helgen återkom någon version av Parler på samma webbservrar som är värd för andra marginalsajter som välkomnar hatretorik. På tisdagskvällen är sajtens hemsida en landningssida för ”tekniska svårigheter”. Webbplatsens grundare John Matze berättade för Fox News att webbplatsen planerar att vara fullt fungerande i slutet av månaden (även om mobilanvändare troligen kommer att få använda den webbaserade versionen i stället för en app). Och det finns andra hem för den extrema högern på nätet – även om, som Zolides påpekade, ”yttrandefrihets”-fokuserade forum som Gab har varit mer proaktiva med innehållsmoderering än Parler.
Fler detaljer kan ännu dyka upp om exakt hur @donk_enby fick tillgång till Parlers data och om teorin om ”öppna dörrar” var exakt vad som hände. (Och oberoende av frågan om cybersäkerhet finns frågor om etik; brott eller hackning, Parlers användardata stals fortfarande, som Steinberg sa, och en stöld är inget att fira.)
Om man antar att Parlers uppgifter blev stulna på grund av dålig design är berättelsen på nätet den 6 januari för tillfället en berättelse om upprepad självanklagelse: upprorsmakare som vandrade runt i det amerikanska kapitolium, som glatt och öppet diskuterade sina misslyckade ytterligare planer, och som hela tiden lade ut komprometterande bevis på Internet, på en webbplats som inte var beredd att hålla bevisen anonyma eller säkra.