Parler, „Twitter“ tai nuplėšė tarnavo kaip viena pagrindinių Donaldo Trumpo fanatikų organizavimo priemonių kuris sausio 6 d. šturmavo JAV Kapitolijų, buvo daugiausia neprisijungus daugiau nei savaitę. Tačiau net sustabdytoje animacijoje pageidaujami „QAnon“, „Proud Boys“ ir kitų Amerikos kraštutinių dešiniųjų elementų internetiniai namai vis dar kelia problemų.
„Amazon“, „Apple“ ir „Google“ sprendimai mesti svetainę ir uždrausti mobiliųjų telefonų vartotojams atsisiųsti programą sukėlė „Big Tech“ cenzūros šauksmus. Neatsižvelgiant į pirmąjį pakeitimą ir interneto reguliavimo politiką, būdas, kuriuo „Parler“ pasisavino duomenis išeidamas pro duris, kelia rimtų kibernetinio saugumo klausimų ir susirūpinimą dėl to, ar kiti interneto žaidėjai ateityje turi duomenų pažeidimų.
Nors to neįmanoma patikrinti nepažvelgus po „Parler“ gaubtu - užduotis dabar neįmanoma, nes svetainė neprijungta prie interneto, vyrauja pasakojimas, kad „Parler“ saugumo trūkumas (ar trūkumai) leido „white hat“ įsilaužėliui netrukus atsisiųsti ir archyvuoti visus „Parler“ vartotojo duomenis. prieš „Amazon Web Services“ ištraukė svetainės prieglobos kištuką. Tarp visuomenei (ir teisėsaugos institucijoms) pateiktų prieigos duomenų kai kuriais atvejais buvo įtraukti galimai inkriminuojantys vietos duomenys.
Kalbėk rėmėsi „Worpress“ , pasaulyje dažniausiai naudojama turinio valdymo sistema. Tai paskatino spėlioti, kad „WordPress“ buvo trūkumo dalis ir kad kitiems, naudojantiems „WordPress“, gresia pavojus. Tačiau remiantis bendru kibernetinio saugumo ekspertų sutarimu , įskaitant kelis, dėl kurių buvo susisiekta dėl šio straipsnio, „Parler“ duomenų pažeidimas neįvyko vien todėl, kad Parleris naudojo „WordPress“. Vietoj to, „Parler“ naudotojo duomenys nutekėjo, nes generalinis direktorius Johnas Matze'as ir svetainės architektai paliko didelių „Parler“ API trūkumų, sąsajos tarp „Parler“ vartotojo sąsajos ir jos vartotojų duomenų.
Taip pat žiūrėkite: Elonas Muskas kaltina „Facebook“ ir Marką Zuckerbergą už „Capitol Riot“
Vyrauja įsitikinimas, kad „Parler“ buvo skubotas, prastas dizainas, kurį pakreipė dešiniosios pakraipos investuotojai, kad taptų gana dideliu, kol jie dar nebuvo sukūrę tvirtų pamatų, kalbant technologiškai Andrew Zolides , Xaviero universiteto komunikacijos profesorius, dėstantis skaitmeninio dizaino kursus, pasakojo „Braganca“. (Tarp „Parler“ investuotojų yra dešiniojo sparno milijardierė Rebekah Mercer , kuris bandė išnaudoti dešiniojo sparno pyktį „Twitter“ ir „Facebook“, kad padidintų Parlerio auditoriją.)
Nors bet kuri svetainė turi savo privatumo problemų, atrodo, kad „Parler“ tampa per didelė, per greita ir neturinti galimybių ar techninių žinių iš tikrųjų tam pasiruošti, pridūrė Zolidesas.
Sveikindami visus asmenis, kuriems rūpi anonimiškumas ar saugumas, kitos svetainės gali išvengti „Parler“ spąstų ... su sąlyga, kad jie nėra palyginti nauji ir maži startuoliai, kurie bando konkuruoti su nusistovėjusiais gigantais, tokiais kaip „Twitter“ ir „Facebook“, ką būtent ir padarė Parleris. .
Taip, „Parler“ galėjo būti geriau suprojektuotas, bet realiai kalbant, tai yra tokia problema, kuri atsitinka, kai konkuruojate su brandžiomis įmonėmis, kurios investavo milijardus ir milijardus dolerių į savo produktus, - pasakė Josephas Steinbergas , saugumo ekspertas ir autorius Kibernetinis saugumas manekenams . Jums bus sunku saugiai suprojektuoti viską, ko norite. 
„Google“, „Apple“ ir „Amazon“ sustabdė socialinių tinklų programą „Parler“. Pranešama, kad „Parler“ nebepasiekiama „App Store“, „Google Play“ ir „Amazon Web Services“, kaip teigiama žiniasklaidos pranešimais, kad nepakankama kontrolė smurtą skatinančių vartotojų įrašų atžvilgiuPavlo Goncharo / SOPA Images / LightRocket nuotraukų iliustracija per „Getty Images“
Pirma, tariamo įsilaužimo metodas. Kol „Parler“ nebuvo išsiųstas iš AWS, „Twitter“ vartotojas, turintis rankeną @donk_enby, suprato, kaip atsisiųsti svetainės naudotojo duomenis - visa tai kartu su bet kokiais kitais viešais įrodymais, kad „Parler“ vartotojai pažeidė Kapitolijų, užpuolė pareigūnus ir planavo dar smurtą , galimai buvo labai kaltinamas, kaip pranešė Gizmodo .
„@donk_enby“ galiausiai sugriebė 56 terabaitų vertės duomenis: nuotraukas, vaizdo įrašus ir tekstinius įrašus, iš kurių daugumoje buvo keletas GPS metaduomenų, teigiamai nukreipiančių „Parler“ vartotojus į Kapitolijų ir aplink juos sausio 6 d. Remiantis federaliniais pareiškimais, bent jau dalis šių duomenų - 56 000 gigabaitų - buvo naudojami riaušių dalyviams nustatyti ir sulaikyti, tačiau nėra jokių teigiamų įrodymų, kad federalai naudojo @ donk_envy duomenų dalį.
Bet kaip tai buvo padaryta? Ankstyvos spekuliacijos šurmuliavo, kad @donk_enby ar kitas įsilaužėlis galėjo pavogti „Parler“ administratoriaus duomenis, o tai būtų neteisėta veika. Priimta teorija yra ta, kad „Startup“ pranešė ir keli saugumo ekspertai nurodė, kad vietoj to „Parler“ API buvo naudojama prieš ją archyvuojant svetainės duomenis - ir tai padaryti greitai.
„Parler“ dizaineriai neapribojo prieigos prie API reikalaudami autentifikavimo. Vartotojams nereikėjo konkrečių kredencialų, kad jie galėtų pasiekti antroje pusėje esančius duomenis. Dėl to buvo atidarytos milžiniškos užpakalinės durys.
Daugelis svetainių, žinančių pagrindinį saugos protokolą, neleidžia pasiekti API be tam tikros formos vartotojo tapatybės, kad užklausa nebūtų kenkėjiška. Kaip nurodė „Startup“, du įprasti autentifikavimo sprendimai yra API raktai ir žetonai, kuriems abiem reikia keleto galiojančių kredencialų, kurie taip pat leidžia svetainei žinoti, kas prieina prie duomenų.
Nėra reikalavimo patvirtinti durų praviros. Be to, „Parler“ dizaineriai nesivargino pridėti antrą gynybos sluoksnį greičio ribojimo būdu - tai reiškia, kad vietoj durų praviros ar kairės įtrūkusios durys buvo plačiai atidarytos.
Ribą ribojanti riba nustato, kiek duomenų vartotojas gali pasiekti, nepaisant prisijungimo duomenų. Žiniatinklio vartotojai laukinėje gamtoje galėjo pamatyti 429 per daug užklausos klaidos pranešimų, o tai rodo, kad per duris buvo per daug pasibeldimų ar bandymų praleisti. Parleris taip pat to neturėjo, o tai reiškė, kad patekus į neapsaugotą galinę dalį, @donk_enby taip pat per 48 valandas galėjo archyvuoti Parlerio duomenis. (Kaip bebūtų keista, kaip pabrėžė „The Startup“, „Amazon Web Service“ turi pagrindinę užkardos parinktį, kurios, atrodo, „Parler“ nesijaudino.)
Galiausiai „Parler“ taip pat leido paskelbti įrašus, kurie, jų manymu, buvo ištrinti, buvo pasiekiami ir lengvai atrandami, kai kas nors buvo užpakalinėje dalyje. Pasibaigus mirtinoms riaušėms, kai kurie „Parler“ vartotojai, žinodami internete pateikiamų įrodymų gausą, paragino kitus ištrinti savo įrašus nuo sausio 6 d.
Visiems Parlerio įrašams buvo suteiktas eilės numeris, kuris padidėjo 1. Net kai vartotojas tuos įrašus ištrynė, jie liko galiniame gale. @donk_enby, matyt, reikėjo parašyti tik labai paprastą scenarijų, kuris surasdavo ir archyvuodavo kiekvieną įrašą po vieną. Kadangi Parleris nesivargino pašalinti geografiškai pažymėtus duomenis iš nuotraukų, vaizdo įrašų ir įrašų prieš juos įkeldamas, ta informacija taip pat sėdėjo ir laukė, kol bus suarchyvuota.
Gali būti, kad kitos svetainės, kurios iš viso naudoja „WordPress“ ar kitą prieglobos programinę įrangą, gali turėti panašių saugumo trūkumų, tačiau jos taip pat gali būti nepakankamai liūdnos, kad tie saugumo trūkumai taptų budrių įsilaužėlių susidomėjimu ir taip būtų pažeisti.
Neretai interneto svetainėse yra saugumo trūkumų, kartais reikšmingų, kurie nepastebimi, nes jie nėra pakankamai populiarūs, kad galėtų piešti daugiau nei paprastus, dažnai automatizuotus bandymus juos sukompromituoti, sakė Erichas Kronas, saugumo ekspertas. „KnowBe4“ , garsi saugumo sprendimų įmonė. Kai svetainė greitai išpopuliarėja, šių testų dėmesys ir sudėtingumas padidėja, todėl dažnai randama pažeidžiamumų.
Vienas naujausių šio reiškinio pavyzdžių, pasak Krono, buvo „Zoom“. Kai COVID-19 pandemija dirbo nuotoliniu būdu, anksčiau nenustatyti Zoom saugumo trūkumai buvo atrasti, panaudoti ir greitai užtaisyti. Tačiau kai „Parler“ pardavėjai ėmė griovinėti savo buvusį klientą, „Parler“ tapo pažeidžiamu tuo metu, kai jie taip pat buvo užpuolikų, hacktivistų ir kitų taikiniai, pridūrė Kronas.
Parleris dar nėra miręs. Per savaitgalį, grįžo kažkokia Parlerio versija tuose pačiuose žiniatinklio serveriuose, kuriuose yra kitų neapykantą kurstančių svetainių. Nuo antradienio vakaro svetainės pagrindinis puslapis yra a techniniai sunkumai nukreipimo puslapyje; svetainės įkūrėjas Johnas Matze'as pasakojo „Fox News“ svetainė planuoja visiškai funkcionuoti iki mėnesio pabaigos (nors mobiliojo ryšio vartotojai greičiausiai užstrigs naudodami žiniatinklio versiją, o ne programą). Ir yra kitų internetinių kraštutinių dešiniųjų namų, nors, kaip pabrėžė Zolidesas, į kalbą orientuoti forumai, kaip antai Gabas, buvo aktyvesni turinio saiko atžvilgiu nei „Parler“.
Dar gali paaiškėti daugiau informacijos apie tai, kaip @donk_enby susipažino su Parlerio duomenimis ir ar būtent atvirų durų teorija įvyko. (Ir atskirai nuo kibernetinio saugumo klausimo yra etikos klausimai; pažeidimas ar įsilaužimas, Parlerio naudotojo duomenys vis tiek buvo pavogti, kaip sakė Steinbergas, o heist nėra nieko švęsti.)
Darant prielaidą, kad Parlerio duomenys buvo atlikti netinkamai, kol kas internetinė sausio 6 dienos istorija yra pakartotinis kaltinimas savimi: demaskuoti riaušininkai, klajojantys po JAV Kapitolijų, linksmai ir atvirai diskutuodami apie savo pažeistus papildomus planus, skelbdami internete visus kaltinančius įrodymus. tuo tarpu į svetainę, kuri nebuvo pasirengusi laikyti tuos įrodymus anoniminiais ar saugiais.
