Parler, a Twitter ezt elszakítja a Donald Trump-fanatikusok egyik fő szervezőeszköze volt aki január 6-án megrohamozta az Egyesült Államok Capitoliumát, az már nagyrészt offline több mint egy hétig. De még felfüggesztett animációban is a QAnon, a Büszke fiúk és az amerikai szélsőjobboldal előnyben részesített online otthona továbbra is gondot okoz.
Az Amazon, az Apple és a Google azon döntése, hogy abbahagyja a webhely tárolását és megtiltja a mobil felhasználóknak az alkalmazás letöltését, kiváltotta a Big Tech cenzúra kiáltásait. Az első módosítást és az internetes szabályozás politikáját félretéve, az a mód, ahogy a Parler az ajtón kifelé haladva adatokat gyűjtött, komoly kiberbiztonsági kérdéseket vet fel, valamint aggodalmat vet fel azzal kapcsolatban, hogy az internet más szereplőinek vannak-e adatmegsértései a jövőben.
Bár lehetetlen ellenőrizni, hogy nem pillantunk be a Parler motorháztetője alá - ez a feladat ma már lehetetlen, mivel a weboldal offline állapotban van -, az uralkodó elbeszélés szerint a Parler biztonsági hibája (vagy hibái) lehetővé tette egy fehér kalapos hacker számára, hogy rövidesen letöltse és archiválja a Parler összes felhasználói adatait mielőtt az Amazon Web Services kihúzta volna a csatlakozót a webhely tárolásához. A nyilvánosság (és a bűnüldöző szervek) számára a hozzáférés céljából bemutatott adatok között egyes esetekben potenciálisan terhelő helyadatok is szerepeltek.
Beszél támaszkodott Worpressre , a világ leggyakrabban használt tartalomkezelő rendszere. Ez arra a találgatásra vezetett, hogy a WordPress része volt a hibának, és bárki más veszélyben volt a WordPress használatával. Azonban, a kiberbiztonsági szakértők általános konszenzusa szerint , köztük többen is keresték ezt a cikket, a Parler adatvédelmi megsértése nem pusztán azért történt, mert Parler a WordPress-t használta. Ehelyett a Parler felhasználói adatai kiszivárogtak, mert John Matze vezérigazgató és az oldal építészei jelentős hibákat hagytak a Parler API-jában, a Parler kezelőfelülete és felhasználói adatai közötti kapcsolatban.
Lásd még: Elon Musk a Facebookot és Mark Zuckerberget hibáztatja a Capitol Riotért
Az uralkodó meggyőződés az, hogy a Parler rohanó, rossz tervezésű volt, amelyet a jobboldali beállítottságú befektetők sürgettek, hogy eléggé nagy legyen, mielőtt valóban szilárd alapot építettek volna, technológiai szempontból, Andrew Zolides , a Xavier Egyetem kommunikációs professzora, aki digitális tervezés tanfolyamokat oktat az Braganca-nek. (A Parler befektetői között a jobboldali milliárdos Rebekah Mercer , aki megpróbálta kamatoztatni a jobboldali haragot a Twitteren és a Facebookon, hogy növelje Parler közönségét.)
Bár bármely weboldalnak megvannak az adatvédelmi aggályai, a Parler úgy tűnik, hogy túl nagy, túl gyors, és nincs képessége vagy technikai know-how-ja arra, hogy valóban felkészüljön erre - tette hozzá Zolides.
A névtelenség vagy általában a biztonság miatt aggódó mindenki számára üdvözlendő fejlemény, hogy más webhelyek elkerülhetik a Parler csapdáját ... feltéve, hogy nem viszonylag új és kicsi startupok próbálják felvenni a versenyt olyan bevett óriásokkal, mint a Twitter és a Facebook, pontosan ezt tette Parler .
Igen, a Parlert jobban meg lehetett volna tervezni, de reálisan nézve ez a fajta probléma akkor fordul elő, amikor olyan érett vállalatokkal versenyezel, amelyek milliárdokat és milliárdokat fektettek be termékeikbe, - mondta Joseph Steinberg , biztonsági szakértő és a Kiberbiztonság a bábuknak . Nehezen fogod megtervezni mindent, amit csak akarsz, biztonságos módon. 
A Google, az Apple és az Amazon felfüggesztette a Parler közösségi hálózati alkalmazást. A Parler állítólag nem érhető el az App Store-ban, a Google Playen és az Amazon Web Services-ben, állítólag a média állítólag nem rendelkezik elégséges erőszakot ösztönző felhasználói bejegyzések felett.Fotó illusztráció: Pavlo Gonchar / SOPA Images / LightRocket a Getty Images-en keresztül
Először az állítólagos feltörés módszere. Mielőtt Parlert elrángatták volna az AWS-től, egy @donk_enby fogantyúval rendelkező Twitter-felhasználó kitalálta, hogyan töltse le a weboldal felhasználói adatait - mindezt, valamint bármilyen más nyilvánosan bizonyított bizonyítékot arról, hogy a Parler-felhasználók megsértették a Capitoliumot, támadtak tiszteket és további erőszakot terveztek , potenciálisan nagyon terhelő volt, ahogy Gizmodo beszámolt róla .
A @donk_enby végül 56 terabájt értékű adatot ragadott el: fotókat, videókat és szöveges bejegyzéseket, amelyek közül sok olyan GPS-metaadatot tartalmazott, amelyek pozitívan állították a Parler-felhasználókat a Capitoliumba és környékére január 6-án, beleértve a biztonságos területeket is. Ezen adatok legalább egy részét - 56 000 gigabájt - a zavargások résztvevőinek azonosítására és elfogására használták fel a szövetségi nyilatkozatok szerint, de nincs bizonyíték arra, hogy a szövetségiek @ donk_envy adatsorát használták volna.
De hogyan sikerült? A korai spekulációk arról szóltak, hogy @donk_enby vagy egy másik hacker ellophatta a Parler rendszergazdai hitelesítő adatait, ami törvényellenes cselekedet lenne. Az elfogadott elmélet az, hogy mint A Startup számolt be és számos biztonsági szakértő felvázolta, ehelyett a Parler saját API-ját használták fel ellene a weboldal adatainak archiválásához - és ennek gyors elvégzéséhez.
A Parler tervezői nem korlátozták az API-hoz való hozzáférést azzal, hogy hitelesítést igényeltek. A felhasználóknak nem volt szükségük külön hitelesítő adatokra a háttérbe tartozó adatok eléréséhez. Ez hatalmas hátsó ajtót nyitott.
A legtöbb, az alapvető biztonsági protokollt ismerő webhely nem engedélyezi az API-hoz való hozzáférést valamilyen felhasználói hitelesítés nélkül, hogy a kérés ne legyen rosszindulatú. Mint a Startup rámutatott, két gyakori hitelesítési megoldás az API-kulcsok és tokenek, mindkettőhöz néhány érvényes hitelesítő adatokra van szükség, amelyek lehetővé teszik a webhely számára azt is, hogy ki fér hozzá az adatokhoz.
Nincs hitelesítési követelmény, ha egy ajtó nyitva van. Ráadásul a Parler tervezői nem zavarták magukat egy második védőréteg hozzáadásával a sebességkorlátozás módján - vagyis nyitott vagy repedt balra nyílt ajtó helyett az ajtó tágra nyílt.
A sebességkorlátozás korlátozza, hogy a felhasználó mennyi adathoz férhet hozzá, függetlenül a hitelesítő adatoktól. Előfordulhat, hogy a webes felhasználók 429 túl sok kérés hibaüzenetet láttak a vadonban, ami annak a jele, hogy túl sok kopogás vagy kísérlet történt az ajtón való áthaladásra. Parlernek sem volt ilyen, ami azt jelentette, hogy miután hozzáfértek a nem biztonságos háttérhez, @donk_enby 48 órán belül archiválni tudta Parler adatait is. (Furcsa módon, amint arra a Startup rámutatott, az Amazon Web Service rendelkezik egy alapvető tűzfal opcióval, amelyet a Parler úgy tűnik nem zavart.)
Végül a Parler azt is megengedte, hogy a felhasználók törölt posztjai elérhetőek és könnyen felfedezhetők legyenek, ha valaki a háttérben van. A halálos zavargások következtében a Parler néhány felhasználója, ismerve az interneten elérhető bizonyítékokat, arra ösztönözte a többieket, hogy január 6-tól töröljék bejegyzéseiket.
Parler összes bejegyzése szekvenciális számot kapott, amelyek 1-gyel nőttek. Még akkor is, ha ezeket a bejegyzéseket a felhasználó törölte, a hátoldalon maradtak. A @donk_enby-nek nyilvánvalóan csak egy nagyon egyszerű szkriptet kellett írnia, amely egyesével megtalálta és archiválta az egyes bejegyzéseket. És mivel Parler nem törődött a földrajzilag megjelölt adatok eltávolításával a fotókról, videókról és bejegyzésekről, mielőtt azokat feltöltötték volna, ezek az információk is ott ültek és archiválásra vártak.
Lehetséges, hogy más, a WordPress programot vagy más tárhelyszoftvert teljesen használó webhelyek hasonló biztonsági hibákkal járhatnak, de előfordulhat, hogy nem is elég hírhedtek ahhoz, hogy ezek a biztonsági hibák az éber hackerek érdekévé váljanak, és így sérüljenek.
Nem ritka, hogy a webhelyeken vannak olyan biztonsági hibák, amelyek néha jelentősek, és amelyek észrevétlenek maradnak, mert nem elég népszerűek ahhoz, hogy egyszerűbb, gyakran automatizált kompromisszumos kísérletekhez jussanak - mondta Erich Kron, a KnowBe4 , egy kiemelkedő biztonsági megoldásokkal foglalkozó cég. Amikor a webhely gyorsan népszerűvé válik, ezeknek a teszteknek a fókusza és összetettsége megnő, ami gyakran sebezhetőségek felfedezéséhez vezet.
Ennek a jelenségnek az egyik legfrissebb példája - mondta Kron - a Zoom. Amikor a COVID-19 járvány távmunkát végzett, a Zoom korábban fel nem fedezett biztonsági hibáit felfedezték, kihasználták, majd gyorsan javították. De a Parlerrel, amikor a biztonsági árusok elkezdték ártalmatlanítani korábbi ügyfelüket, ez sebezhetővé tette a Parlert abban az időben, amikor támadók, hacktivisták és mások célpontjai is voltak - tette hozzá Kron.
Parler még nem halt meg. A hétvégén, a Parler valamilyen változata visszatért ugyanazokon a webszervereken, amelyek más, a gyűlöletbeszédet üdvözlő szélsőséges oldalakat tárolnak. Kedd estétől a webhely kezdőlapja a technikai nehézségek céloldal; az oldal alapítója, John Matze - mondta a Fox News a weboldal tervei szerint a hónap végére teljes mértékben működőképes lesz (bár a mobil felhasználók valószínűleg elakadnak a webalapú verzió alkalmazás helyett). És vannak más otthonai is az online szélsőjobboldalinak - bár, amint arra Zolides rámutatott, a szólásszabadságra fókuszáló fórumok, például Gab, proaktívabbak voltak a tartalom moderálásával, mint Parler.
További részletek még kiderülhetnek arról, hogy a @donk_enby pontosan hogyan érte el Parler adatait, és hogy a nyitott ajtó elmélete pontosan mi történt. (És a kiberbiztonsági kérdéstől elkülönülve az etika kérdése; megsértés vagy feltörés, Parler felhasználói adatait továbbra is ellopták, ahogy Steinberg mondta, és a heistát semmi sem ünnepli.)
Ha feltételezzük, hogy Parler adatait rossz tervezéssel hajtották végre, egyelőre a január 6-i online történet ismétlődő önvádnak számít: leleplezett zavargók vándorolnak az Egyesült Államok Capitoliumában, vidáman és nyíltan vitatják meg megsértett további terveiket, és terhelő bizonyítékokat tesznek közzé az interneten. míg egy weboldalra, amely nem volt kész arra, hogy ezeket a bizonyítékokat névtelenül vagy biztonságban tartsa.
