Парлер, грабитель Twitter, который служил одним из основных инструментов для фанатиков Дональда Трампа штурмовавших Капитолий США 6 января, в основном офлайн больше недели. Но даже в анабиозе предпочтительный онлайн-дом для QAnon, Proud Boys и других элементов американских ультраправых по-прежнему создает проблемы.
Решения Amazon, Apple и Google прекратить хостинг сайта и запретить мобильным пользователям загружать приложение вызвали крики цензуры Big Tech. Если оставить в стороне Первую поправку и политику регулирования Интернета, то, как Парлер хлынул потоком данных по пути к выходу, вызывает серьезные вопросы кибербезопасности, а также опасения по поводу того, есть ли у других игроков в Интернете утечки данных в будущем.
Хотя это невозможно проверить, не заглянув под капот Парлера - задача теперь невозможна, поскольку веб-сайт отключен, - преобладает повествование о том, что брешь (или изъяны) безопасности Парлера позволила хакеру в белой шляпе быстро загрузить и заархивировать все пользовательские данные Парлера. до того, как Amazon Web Services отказалась от хостинга сайта. Среди данных, представленных общественности (и правоохранительным органам) для доступа, в некоторых случаях содержатся потенциально компрометирующие данные о местоположении.
Говорить полагался на Worpress , самая популярная в мире система управления контентом. Это привело к предположениям, что WordPress был частью уязвимости и что кто-либо другой, использующий WordPress, подвергался опасности. Тем не мение, согласно общему мнению экспертов по кибербезопасности , включая нескольких, с которыми связались для этой статьи, утечка данных Парлера произошла не просто потому, что Парлер использовал WordPress. Вместо этого произошла утечка пользовательских данных Парлера, потому что генеральный директор Джон Матце и архитекторы сайта оставили серьезные недостатки в API Парлера, связующем между интерфейсом Парлера и его пользовательскими данными.
Смотрите также: Илон Маск обвиняет Facebook и Марка Цукерберга в бунте Капитолия
Преобладающее мнение состоит в том, что Парлер был поспешным, плохим проектом, который поддерживали правые инвесторы, чтобы стать довольно крупным, прежде чем они действительно построили прочный фундамент, технологически говоря. Эндрю Золидес , - сказал Braganca профессор коммуникаций в Университете Ксавьера, который преподает курсы цифрового дизайна. (Среди инвесторов Парлера правая миллиардерша Ребекка Мерсер , которые пытались извлечь выгоду из гнева правых в Twitter и Facebook, чтобы расширить аудиторию Парлера.)
«Хотя у любого веб-сайта есть свои проблемы с конфиденциальностью, Парлер, похоже, становится слишком большим, слишком быстрым и не имеет возможностей или технических ноу-хау, чтобы на самом деле подготовиться к этому», - добавил Золидес.
В качестве долгожданного развития для всех, кто обеспокоен анонимностью или безопасностью в целом, другие веб-сайты могут избежать ловушки Парлера ... при условии, что они не являются относительно новыми и небольшими стартапами, которые пытаются конкурировать с такими признанными гигантами, как Twitter и Facebook, что именно было сделано Parler. .
Да, Parler можно было бы спроектировать лучше, но, если честно, это проблема такого рода, которая возникает, когда вы конкурируете со зрелыми компаниями, вложившими миллиарды и миллиарды долларов в свои продукты. сказал Джозеф Стейнберг , эксперт по безопасности и автор Кибербезопасность для чайников . Вам будет сложно разработать безопасным способом все, что вы хотите. 
Google, Apple и Amazon приостановили работу приложения для социальной сети Parler. Парлер стал недоступен в App Store, Google Play и Amazon Web Services, как сообщается, из-за недостаточного контроля над публикациями пользователей, которые поощряют насилие, как сообщается в СМИ.Фотоиллюстрация Павла Гончара / SOPA Images / LightRocket через Getty Images
Во-первых, способ предполагаемого взлома. До того, как Парлера выдернули из AWS, пользователь Twitter с ником @donk_enby придумал, как загрузить пользовательские данные с веб-сайта - все это вместе с любыми другими публичными свидетельствами того, что пользователи Parler нарушали Капитолий, нападали на офицеров и замышляли дальнейшее насилие. , потенциально был очень компрометирующим, как сообщает Gizmodo .
@donk_enby в конечном итоге собрал 56 терабайт данных: фотографии, видео и текстовые сообщения, многие из которых включали некоторые метаданные GPS, которые положительно поместили пользователей Parler в Капитолий и его окрестности 6 января, в том числе в охраняемых зонах. По крайней мере, некоторые из этих данных - 56 000 гигабайт - были использованы для идентификации и задержания участников беспорядков, согласно федеральным письменным показаниям, но нет никаких доказательств того, что федералы использовали транш данных @ donk_envy.
Но как это было сделано? Ранее ходили слухи, что @donk_enby или другой хакер, возможно, украли учетные данные администратора Parler, что было бы незаконным действием. Принятая теория заключается в том, что, поскольку Стартап сообщил и несколько экспертов по безопасности указали, что вместо этого для архивации данных веб-сайта использовался собственный API Парлера - и чтобы сделать это быстро.
Дизайнеры Парлера не ограничивали доступ к API, требуя аутентификации. Пользователям не требовались определенные учетные данные для доступа к данным на серверной стороне. Это оставило открытой огромный черный ход.
Большинство веб-сайтов, осведомленных о базовом протоколе безопасности, не разрешают доступ к API без какой-либо формы аутентификации пользователя, чтобы убедиться, что запрос не является вредоносным. Как указали в Startup, два распространенных решения аутентификации - это ключи и токены API, оба из которых требуют некоторых действительных учетных данных, которые также позволяют веб-сайту знать, кто имеет доступ к данным.
Отсутствие требования аутентификации оставило дверь приоткрытой. Вдобавок к этому дизайнеры Парлера не удосужились добавить второй уровень защиты в виде ограничения скорости, то есть вместо того, чтобы дверь была приоткрыта или оставлена приоткрытой, дверь была широко открыта.
Ограничение скорости ограничивает объем данных, к которым пользователь может получить доступ независимо от учетных данных. Веб-пользователи могли видеть сообщения об ошибке 429 Too Many Request в дикой природе, что является признаком того, что было слишком много стуков или попыток пройти через дверь. У Парлера этого тоже не было, а это означало, что после доступа к незащищенной серверной части @donk_enby также мог заархивировать данные Парлера в течение 48 часов. (Как ни странно, как заметил The Startup, у Amazon Web Service есть базовая опция брандмауэра, с которой Парлер, похоже, не беспокоился.)
Наконец, Parler также разрешил сообщения, которые, по мнению пользователей, были удалены, чтобы быть доступными и легко обнаруживаемыми после того, как кто-то оказался на сервере. После кровавых беспорядков некоторые пользователи Parler, зная о множестве доказательств, доступных в Интернете, призвали других удалить свои сообщения с 6 января.
Всем сообщениям Парлера были присвоены порядковые номера, которые увеличились на 1. Даже когда эти сообщения были удалены пользователем, они оставались на сервере. @donk_enby, по-видимому, нужно было написать только очень простой скрипт, который находил и архивировал каждое сообщение, одно за другим. А поскольку Парлер не удосужился удалить данные с геотегами из фотографий, видео и сообщений до их загрузки, эта информация также находилась там, ожидая архивации.
Возможно, что другие веб-сайты, которые используют WordPress или другое программное обеспечение для хостинга, могут иметь аналогичные недостатки безопасности, но они также могут быть недостаточно печально известными, чтобы эти недостатки безопасности стали интересом хакеров-линчевателей и, таким образом, были бы взломаны.
«Нередко на веб-сайтах есть недостатки безопасности, иногда значительные, которые остаются незамеченными, потому что они недостаточно популярны, чтобы рисовать что-то большее, чем простые, часто автоматизированные попытки их взлома», - сказал Эрих Крон, эксперт по безопасности с KnowBe4 , известная фирма по обеспечению безопасности. Когда сайт быстро становится популярным, фокус и сложность этих тестов возрастают, что часто приводит к обнаружению уязвимостей.
Крон сказал, что одним из недавних примеров этого явления является Zoom. Когда пандемия COVID-19 заставила всю работу работать удаленно, ранее необнаруженные недостатки безопасности Zoom были обнаружены, использованы и затем быстро исправлены. Но с Parler, когда поставщики средств безопасности начали отказываться от своего бывшего клиента, это сделало Parler уязвимым в то время, когда они также были целью злоумышленников, хактивистов и других, добавил Крон.
Парлер еще не умер. На выходных, какая-то версия Парлера вернулась на тех же веб-серверах, где размещены другие сторонние сайты, приветствующие разжигание ненависти. По состоянию на вечер вторника, домашняя страница сайта - это технические трудности посадочной страницы; основатель сайта Джон Матце сказал Fox News веб-сайт планирует полностью функционировать к концу месяца (хотя мобильные пользователи, скорее всего, застрянут в использовании веб-версии вместо приложения). Есть и другие дома для ультраправых в сети, хотя, как указал Золидес, форумы, ориентированные на свободу слова, такие как Gab, были более активны с модерацией контента, чем Parler.
Еще могут появиться более подробные сведения о том, как @donk_enby получил доступ к данным Парлера и была ли теория открытых дверей именно тем, что произошло. (И отдельно от вопроса кибербезопасности стоит вопрос этики; взлом или взлом, пользовательские данные Парлера все еще были украдены, как сказал Стейнберг, и ограбление - не повод для радости.)
Если предположить, что данные Парлера были введены в заблуждение, на данный момент онлайн-история от 6 января - это история неоднократного самообвинения: разоблаченные бунтовщики бродят по Капитолию США, радостно и открыто обсуждают свои сорванные дополнительные планы, размещая в Интернете компрометирующие доказательства. в то время как на веб-сайт, который не был подготовлен к сохранению анонимности или безопасности этих доказательств.
