Parler, die Twitter het dit losgemaak gedien as een van die belangrikste organiseerders vir die Donald Trump-fanatici wat op 6 Januarie die Amerikaanse Capitol bestorm het, is grotendeels vanlyn vir meer as 'n week. Maar selfs in onderbroke animasie skep die voorkeur-aanlyn-tuiste vir QAnon, die Proud Boys en ander elemente van die Amerikaanse verregse nog steeds probleme.
Besluite van Amazon, Apple en Google om op te hou om die webwerf te huisves en mobiele gebruikers te verbied om die app af te laai, het die uitroep van Big Tech-sensuur veroorsaak. Eerste wysiging en internetreguleringspolitiek ter syde stel, die manier waarop Parler data op pad uit die deur uitstoot, ernstige kuberveiligheidsvrae laat ontstaan, asook kommer oor of ander spelers op die internet in die toekoms met data oortree.
Alhoewel dit onmoontlik is om te verifieer sonder om onder Parler se kappie te loer - 'n taak wat nou onmoontlik is aangesien die webwerf nie beskikbaar is nie - is die oorheersende verhaal dat 'n Parler-sekuriteitsfout (of gebreke) 'n hacker met 'n wit hoed in staat gestel het om al die gebruikersdata van Parler kortliks af te laai en te argiveer. voordat Amazon Web Services die gasheer van die webwerf getrek het. Onder die data wat vir die publiek (en wetstoepassers) aangebied word, is daar in sommige gevalle potensieel inkriminerende liggingsdata ingesluit.
Praat op Worpress vertrou , die wêreld se mees gebruikte inhoudsbestuurstelsel. Dit het gelei tot bespiegeling dat WordPress deel was van die fout en dat enigiemand anders wat WordPress gebruik, in gevaar was. Maar, volgens 'n algemene konsensus van kubersekuriteitskenners , insluitend verskeie wat vir hierdie artikel gekontak is, het Parler se data-inbreuk nie plaasgevind bloot omdat Parler WordPress gebruik het nie. In plaas daarvan het Parler se gebruikersdata gelek omdat John Matze, uitvoerende hoof, en die argitekte van die werf groot foute in die API van Parler gelaat het, die skakel tussen Parler se front-end en sy gebruikersdata.
Sien ook: Elon Musk blameer Facebook en Mark Zuckerberg vir Capitol Riot
Die oorheersende oortuiging is dat Parler 'n gejaagde, swak ontwerp was wat deur regsgeleerde beleggers gedryf is om redelik groot te word voordat hulle tegnologies gesproke 'n stewige fondament gebou het. Andrew Zolides , 'n professor in kommunikasie aan die Xavier Universiteit wat kursusse in digitale ontwerp aanbied, het aan Braganca gesê. (Onder Parler se beleggers is die regse miljardêr Rebekah Mercer , wat probeer het om munt te slaan uit regse woede oor Twitter en Facebook om die gehoor van Parler te laat groei.)
Alhoewel enige webwerf sy privaatheidsoorwegings betref, lyk dit asof Parler 'n probleem is om te groot, te vinnig te word en nie die vermoë of tegniese kundigheid het om daartoe voor te berei nie, het Zolides bygevoeg.
In 'n welkome ontwikkeling vir almal wat bekommerd is oor anonimiteit of sekuriteit in die algemeen, kan ander webwerwe die Parler-lokval vermy ... mits hulle nie relatief nuut is nie en klein opstartondernemings wat probeer kompeteer met gevestigde reuse soos Twitter en Facebook, presies wat Parler gedoen het. .
Ja, Parler kon beter ontwerp gewees het, maar realisties gesproke is dit die soort probleem wat gebeur as u meeding met volwasse maatskappye wat miljarde en miljarde dollars in hul produkte belê het, het Joseph Steinberg gesê , 'n sekuriteitskenner en skrywer van Kuberveiligheid vir dummies . Dit gaan moeilik wees om alles wat u wil hê op 'n veilige manier te ontwerp. 
Google, Apple en Amazon het die sosiale netwerk-app Parler opgeskort. Parler is na bewering onbeskikbaar in die App Store, Google Play en Amazon Web Services, na berig word onvoldoende beheer oor gebruikersposte wat geweld aangemoedig het, volgens berigte deur die media.Foto-illustrasie deur Pavlo Gonchar / SOPA Images / LightRocket via Getty Images
Eerstens die metode vir die beweerde hack. Voordat Parler van AWS afgestuur is, het 'n Twitter-gebruiker met die handvatsel @donk_enby agtergekom hoe om die gebruikersdata van die webwerf af te laai - alles saam met ander openbare bewyse van Parler-gebruikers wat die Kapitool oortree, beamptes aangerand en verdere geweld beplan. , was moontlik baie inkriminerend, soos Gizmodo berig het .
@donk_enby het uiteindelik 56 teragrepe se waarde versamel: foto's, video's en teksboodskappe, waarvan baie GPS-metadata bevat wat Parler-gebruikers op 6 Januarie in en rondom die Capitol positief geplaas het, ook in veilige gebiede. Volgens federale verklarings is ten minste sommige van hierdie data - 56 000 gigagrepe - gebruik om oproerdeelnemers te identifiseer en vas te trek, maar daar is geen bewys dat die feds die data-tranche van @ donk_envy gebruik het nie.
Maar hoe is dit gedoen? Vroeë bespiegelinge gons dat @donk_enby of 'n ander hacker moontlik Parler-administrasiebewyse gesteel het, wat 'n onwettige daad sou wees. Die aanvaarde teorie is dat, soos Die opstart berig en verskeie sekuriteitskenners het in plaas daarvan Parler se eie API daarteen gebruik om die webwerf se data te argiveer - en om dit vinnig te doen.
Parler se ontwerpers het nie toegang tot die API beperk deur verifikasie te vereis nie. Gebruikers het nie spesifieke referente nodig gehad om toegang tot die data aan die agterkant te kry nie. Dit laat 'n enorme agterdeur oop.
Die meeste webwerwe wat bewus is van die basiese beveiligingsprotokol, laat nie toegang tot die API toe sonder een of ander vorm van gebruikersverifikasie om te verseker dat die versoek nie kwaadwillig is nie. Soos The Startup opgemerk het, is twee algemene verifikasie-oplossings API-sleutels en tokens, wat albei geldige inskrywings benodig om die webwerf ook te laat weet wie toegang tot die data het.
Geen verifikasievereiste het 'n deur oop geskeur nie. Boonop het Parler se ontwerpers nie die moeite gedoen om 'n tweede verdedigingslaag by te voeg op die manier om koersbeperking te maak nie - wat beteken dat die deur in plaas van 'n deur op 'n oop punt of gebarste gelaat het, wyd oop was.
Koersbeperking beperk hoeveel data toegang tot 'n gebruiker het, ongeag die geloofsbriewe. Webgebruikers het miskien 429 Te veel versoek-foutboodskappe in die natuur gesien, wat 'n teken is dat daar te veel geklop of gepoog is om deur te gaan. Parler het dit ook nie gehad nie, wat beteken het dat sodra die onbeveiligde agterkant verkry is, @donk_enby ook binne 48 uur Parler se data kon argiveer. (Vreemd genoeg, soos The Startup daarop gewys het, het Amazon Web Service 'n basiese firewall-opsie waarvoor Parler blykbaar nie moeite gedoen het nie.)
Uiteindelik het Parler ook toegelaat dat plasings wat volgens gebruikers volgens gebruikers verwyder is, beskikbaar is en maklik ontdek kan word sodra iemand aan die agterkant was. In die nasleep van die dodelike onluste het sommige gebruikers van Parler, wat bewus was van die bewyse wat op die internet beskikbaar was, ander aangemoedig om hul boodskappe vanaf 6 Januarie te skrap.
Al die berigte van Parler het opeenvolgende nommers gekry wat met 1. toegeneem het. Selfs toe die berigte deur die gebruiker verwyder is, het dit aan die agterkant gebly. @donk_enby moes blykbaar net 'n baie basiese teks skryf wat elke pos een vir een gevind en geargiveer het. En aangesien Parler nie die moeite gedoen het om geo-gemerkte data van foto's en video's en plasings te verwyder voordat dit opgelaai is nie, het die inligting ook daar gesit en wag om geargiveer te word.
Dit is moontlik dat ander webwerwe wat WordPress of ander hosting-sagteware geheel en al gebruik, soortgelyke beveiligingsfoute kan hê, maar dit is moontlik ook nie berug genoeg om die beveiligingsfoute in die belang te stel van waaksaamheidshakers en sodoende oortree word nie.
Dit is nie ongewoon dat webwerwe veiligheidsfoute het nie, en soms ook beduidend, wat ongemerk bly omdat hulle nie gewild genoeg is om meer as eenvoudige, dikwels outomatiese, pogings om dit te kompromitteer nie, sê Erich Kron, 'n veiligheidskenner van KnowBe4 , 'n prominente sekuriteitsoplossingsfirma. Wanneer die webwerf vinnig gewild word, neem die fokus en kompleksiteit van hierdie toetse toe, wat dikwels lei tot kwesbaarheid.
Een onlangse voorbeeld van hierdie verskynsel, volgens Kron, was Zoom. Toe die COVID-19-pandemie alle werk op afstand laat werk het, is Zoom se voorheen ongemerkte veiligheidsfoute ontdek, uitgebuit en dan vinnig gelap. Maar met Parler, toe sekuriteitsverkopers hul voormalige kliënt begin verdwyn het, het dit Parler weerloos gelaat op 'n tydstip dat hulle ook 'n teiken was vir aanvallers, hacktiviste en ander, het Kron bygevoeg.
Parler is nog nie heeltemal dood nie. Oor die naweek, een of ander weergawe van Parler het teruggekeer op dieselfde webbedieners wat ander randwebwerwe aanbied wat haatspraak verwelkom. Vanaf Dinsdagaand die webwerf se tuisblad is 'n tegniese probleme bestemmingsblad; werfstigter John Matze aan Fox News gesê die webwerf is van plan om teen die einde van die maand ten volle funksioneel te wees (alhoewel mobiele gebruikers waarskynlik die internetversie in plaas van 'n app sal gebruik). En daar is ook ander huise vir die aanlyn-verregses, maar, soos Zolides daarop gewys het, is forums soos Gab meer gefokus op vrye spraak, met meer inhoud as Parler.
Meer besonderhede kan nog verskyn oor presies hoe @donk_enby toegang tot Parler se data verkry het en of die oopdeur-teorie presies was wat gebeur het. (En apart van die kuberveiligheidsvraag staan etiese kwessies; oortreding of hacking, Parler se gebruikersdata is steeds gesteel, soos Steinberg gesê het, en 'n heist is niks om te vier nie.)
As ons aanneem dat die data van Parler deur 'n slegte ontwerp gedoen is, is die aanlynverhaal van 6 Januarie een van herhaalde selfinkriminasie: ongemaskerde oproermakers wat in die Amerikaanse Capitol ronddwaal, vrolik en openlik hul vervulde bykomende planne bespreek, en alles beskuldigende getuienis op die internet plaas die tydjie, na 'n webwerf wat nie bereid was om die bewyse anoniem of veilig te hou nie.
