Parler, zdzierstwo na Twitterze, które służył jako jedno z głównych narzędzi organizacyjnych dla fanatyków Donalda Trumpa który szturmował Kapitol USA 6 stycznia, został w dużej mierze offline przez ponad tydzień. Ale nawet w zawieszonych animacjach preferowany dom online dla QAnon, Proud Boys i innych elementów amerykańskiej skrajnej prawicy wciąż sprawia kłopoty.
Decyzje Amazona, Apple i Google o rezygnacji z hostingu strony i zakazaniu użytkownikom mobilnym pobierania aplikacji wywołały krzyki cenzury Big Tech. Odkładając na bok pierwszą poprawkę i politykę regulacji internetowych, sposób, w jaki Parler wypuszczał dane w drodze do wyjścia, rodzi poważne pytania dotyczące cyberbezpieczeństwa, a także obawy o to, czy inni gracze w Internecie mają w przyszłości naruszenia danych.
Chociaż nie można tego zweryfikować bez zajrzenia pod maskę Parlera – zadanie to jest teraz niemożliwe, ponieważ strona internetowa jest offline – przeważa narracja, że luka w zabezpieczeniach Parlera (lub luki) pozwoliła hakerowi w białym kapeluszu na pobranie i zarchiwizowanie wszystkich danych użytkownika Parlera w krótkim czasie zanim Amazon Web Services wyciągnął wtyczkę hostingu witryny. Wśród danych udostępnionych opinii publicznej (i organom ścigania) w niektórych przypadkach znalazły się potencjalnie obciążające dane dotyczące lokalizacji.
Mówić polegał na Worpress , najpopularniejszy na świecie system zarządzania treścią. Doprowadziło to do spekulacji, że WordPress był częścią usterki i że każdy inny korzystający z WordPressa był w niebezpieczeństwie. Jednak, według ogólnego konsensusu ekspertów ds. cyberbezpieczeństwa , w tym kilka osób, z którymi skontaktowano się w związku z tym artykułem, naruszenie danych Parlera nie nastąpiło tylko dlatego, że Parler korzystał z WordPressa. Zamiast tego dane użytkowników Parlera wyciekły, ponieważ dyrektor generalny John Matze i architekci witryny pozostawili poważne wady w interfejsie API Parlera, połączeniu między front-endem Parlera a jego danymi użytkownika.
Zobacz też: Elon Musk obwinia Facebooka i Marka Zuckerberga za Capitol Riot
Dominuje przekonanie, że Parler był pospiesznym, kiepskim projektem wspieranym przez prawicowych inwestorów, aby stać się całkiem dużym, zanim naprawdę zbudowali solidny fundament, technologicznie mówiąc, Andrzeja Zolidesa , profesor komunikacji na Xavier University, który prowadzi kursy projektowania cyfrowego, powiedział Bragancaowi. (Wśród inwestorów Parlera to prawicowa miliarderka Rebekah Mercer , którzy próbowali wykorzystać prawicowy gniew na Twitterze i Facebooku, aby powiększyć grono odbiorców Parlera.)
Podczas gdy każda strona internetowa ma swoje obawy dotyczące prywatności, Parler wydaje się być problemem zbyt dużego, zbyt szybkiego i braku umiejętności lub technicznej wiedzy, aby faktycznie się na to przygotować, dodał Zolides.
W mile widzianym wydaniu dla każdego, kto troszczy się o anonimowość lub ogólnie o bezpieczeństwo, inne strony internetowe mogą uniknąć pułapki Parlera… pod warunkiem, że nie są stosunkowo nowymi i małymi startupami, które próbują konkurować z uznanymi gigantami, takimi jak Twitter i Facebook, co właśnie zrobił Parler .
Tak, Parler mógł być lepiej zaprojektowany, ale realistycznie rzecz biorąc, jest to problem, który ma miejsce, gdy konkurujesz z dojrzałymi firmami, które zainwestowały miliardy dolarów w swoje produkty, powiedział Joseph Steinberg , ekspert ds. bezpieczeństwa i autor Cyberbezpieczeństwo dla opornych . Będziesz miał trudności z zaprojektowaniem wszystkiego, co chcesz w bezpieczny sposób. 
Google, Apple i Amazon zawiesiły aplikację społecznościową Parler. Parler stał się niedostępny w App Store, Google Play i Amazon Web Services, podobno, jak mówiono, niewystarczająca kontrola nad postami użytkowników, które zachęcały do przemocy, podobno przez media.Zdjęcie: Pavlo Gonchar / SOPA Images / LightRocket za pośrednictwem Getty Images
Po pierwsze, metoda rzekomego włamania. Zanim Parler został wyrwany z AWS, użytkownik Twittera z dopiskiem @donk_enby wymyślił, jak pobrać dane użytkownika ze strony internetowej – wszystko to, wraz z wszelkimi innymi bardzo publicznymi dowodami, że użytkownicy Parlera włamali się na Kapitol, napadli na funkcjonariuszy i planowali dalszą przemoc , był potencjalnie bardzo obciążający, jak donosił Gizmodo .
@donk_enby w końcu zdobył 56 terabajtów danych: zdjęcia, filmy i posty tekstowe, z których wiele zawierało metadane GPS, które pozytywnie wpłynęły na użytkowników Parlera w okolicach Kapitolu 6 stycznia, w tym na obszarach chronionych. Przynajmniej niektóre z tych danych – 56 000 gigabajtów – zostały wykorzystane do identyfikacji i zatrzymania uczestników zamieszek, zgodnie z oświadczeniami federalnymi, ale nie ma dowodu na to, że federalni wykorzystali transzę danych @donk_envy.
Ale jak to się stało? Wczesne spekulacje pojawiły się, że @donk_enby lub inny haker mógł ukraść dane administratora Parlera, co byłoby nielegalnym działaniem. Przyjęta teoria jest taka, że: Startup zgłoszone a kilku ekspertów ds. Bezpieczeństwa wskazało, że zamiast tego wykorzystano własny interfejs API Parlera do archiwizacji danych witryny — i to szybko.
Projektanci Parlera nie ograniczali dostępu do API, wymagając uwierzytelnienia. Użytkownicy nie potrzebowali określonych poświadczeń, aby uzyskać dostęp do danych na zapleczu. To pozostawiło ogromne tylne drzwi otwarte.
Większość witryn znających podstawowy protokół bezpieczeństwa nie zezwala na dostęp do interfejsu API bez jakiejś formy uwierzytelnienia użytkownika, aby upewnić się, że żądanie nie jest złośliwe. Jak zauważył The Startup, dwoma powszechnymi rozwiązaniami do uwierzytelniania są klucze API i tokeny, z których oba wymagają pewnych ważnych danych uwierzytelniających, które również pozwalają witrynie wiedzieć, kto uzyskuje dostęp do danych.
Brak wymogu uwierzytelnienia pozostawił uchylone drzwi. Co więcej, projektanci Parlera nie zadawali sobie trudu, aby dodać drugą warstwę obrony w postaci ograniczania szybkości – co oznacza, że zamiast uchylonych lub pozostawionych pękniętych drzwi, drzwi były szeroko otwarte.
Ograniczenie szybkości ogranicza ilość danych, do których użytkownik może uzyskać dostęp niezależnie od poświadczeń. Internauci mogli zobaczyć na wolności komunikaty o błędach 429 Too Many Requests, co oznacza, że było zbyt wiele pukań lub prób przejścia przez drzwi. Parler też tego nie miał, co oznaczało, że po uzyskaniu dostępu do niezabezpieczonego zaplecza @donk_enby mógł również zarchiwizować dane Parlera w ciągu 48 godzin. (Co dziwne, jak zauważył The Startup, Amazon Web Service ma podstawową opcję zapory, z którą Parler nie przejmował się.)
Wreszcie, Parler pozwolił również, aby posty, które według jego użytkowników zostały usunięte, były zarówno dostępne, jak i łatwe do odnalezienia, gdy ktoś był na zapleczu. W następstwie śmiertelnych zamieszek niektórzy użytkownicy Parlera, świadomi ryzy dowodów dostępnych w sieci, zachęcali innych do usuwania swoich postów od 6 stycznia.
Wszystkie posty Parlera otrzymały kolejne numery, które wzrosły o 1. Nawet gdy te posty zostały usunięte przez użytkownika, pozostały na zapleczu. @donk_enby najwyraźniej musiał napisać tylko bardzo prosty skrypt, który odnajduje i archiwizuje każdy post, jeden po drugim. A ponieważ Parler nie zawracał sobie głowy usuwaniem danych z geotagami ze zdjęć, filmów i postów przed ich przesłaniem, te informacje również czekały na archiwizację.
Możliwe, że inne strony internetowe, które używają WordPressa lub innego oprogramowania hostingowego, mogą mieć podobne luki w zabezpieczeniach, ale mogą też nie być na tyle niesławne, aby te luki w zabezpieczeniach stały się przedmiotem zainteresowania hakerów, a tym samym zostały naruszone.
Nierzadko zdarza się, że strony internetowe mają wady bezpieczeństwa, czasami znaczące, które pozostają niezauważone, ponieważ nie są na tyle popularne, aby przyciągać więcej niż proste, często zautomatyzowane próby ich złamania, powiedział Erich Kron, ekspert ds. bezpieczeństwa z KnowBe4 , renomowana firma zajmująca się rozwiązaniami w zakresie bezpieczeństwa. Gdy witryna szybko staje się popularna, zwiększa się koncentracja i złożoność tych testów, co często prowadzi do wykrycia luk w zabezpieczeniach.
Jednym z ostatnich przykładów tego zjawiska, powiedział Kron, był Zoom. Kiedy pandemia COVID-19 sprawiła, że cała praca była zdalna, wcześniej niewykryte luki bezpieczeństwa Zoom zostały wykryte, wykorzystane, a następnie szybko załatane. Jednak w przypadku Parlera, gdy dostawcy zabezpieczeń zaczęli porzucać swojego dawnego klienta, Parler był narażony na ataki, gdy byli również celem atakujących, haktywistów i innych, dodał Kron.
Parler jeszcze nie umarł. Przez weekend, powróciła jakaś wersja Parlera na tych samych serwerach internetowych, na których znajdują się inne marginalne witryny, które zachęcają do mowy nienawiści. Od wtorkowego wieczoru strona główna witryny to strona docelowa trudności technicznych; założyciel strony John Matze powiedział Fox News strona internetowa planuje być w pełni funkcjonalna do końca miesiąca (chociaż użytkownicy mobilni prawdopodobnie utkną w wersji internetowej zamiast aplikacji). Są też inne domy dla skrajnej prawicy online – chociaż, jak zauważył Zolides, fora skoncentrowane na wolnej mowie, takie jak Gab, były bardziej proaktywne w moderowaniu treści niż Parler.
Może jeszcze pojawić się więcej szczegółów na temat tego, w jaki sposób @donk_enby uzyskał dostęp do danych Parlera i czy teoria otwartych drzwi była dokładnie tym, co się stało. (A niezależnie od kwestii cyberbezpieczeństwa są kwestie etyczne; naruszenie lub włamanie, dane użytkownika Parlera nadal zostały skradzione, jak powiedział Steinberg, a napad nie jest powodem do świętowania.)
Zakładając, że dane Parlera zostały wykonane w złym zamiarze, na razie internetowa historia z 6 stycznia to historia powtarzających się samooskarżeń: zdemaskowani buntownicy wędrujący po Kapitolu, radośnie i otwarcie dyskutujący o swoich udaremnionych dodatkowych planach, publikujący obciążające dowody w Internecie. tymczasem do strony internetowej, która nie była przygotowana do zachowania anonimowości lub bezpieczeństwa tych dowodów.
