Parler, Twitter rip-off det fungerte som et av hovedorganisasjonsverktøyene for Donald Trump-fanatikere som stormet det amerikanske hovedstaden 6. januar, har vært stort sett offline i mer enn en uke. Men selv i suspendert animasjon skaper fortsatt det foretrukne online-hjemmet for QAnon, The Proud Boys og andre elementer i den amerikanske høyreekstremisten problemer.
Beslutninger fra Amazon, Apple og Google om å slutte å være vert for nettstedet og forby mobilbrukere å laste ned appen har utløst rop av Big Tech-sensur. Første endring og internettreguleringspolitikk til side, den måten Parler kastet data på vei ut døren, reiser alvorlige spørsmål om cybersikkerhet, så vel som bekymringer for om andre aktører på internett har datainnbrudd i fremtiden.
Selv om det er umulig å verifisere uten å kikke under hetten til Parler - en oppgave som nå er umulig siden nettstedet er frakoblet - er den gjeldende fortellingen at en Parler-sikkerhetsfeil (eller mangler) tillot en white-hat hacker å laste ned og arkivere alle Parlers brukerdata om kort tid før Amazon Web Services trakk støpselet ved å være vert for nettstedet. Blant dataene som ble presentert for publikum (og rettshåndhevelse) for tilgang, inkluderte, i noen tilfeller, potensielt belastende stedsdata.
Snakke stolte på Worpress , verdens mest brukte innholdsstyringssystem. Det har ført til spekulasjoner om at WordPress var en del av feilen, og at alle andre som brukte WordPress var i fare. Derimot, ifølge en generell enighet av eksperter på it-sikkerhet , inkludert flere som ble kontaktet for denne artikkelen, skjedde ikke Parlers brudd på data bare fordi Parler brukte WordPress. I stedet lekket Parlers brukerdata fordi administrerende direktør John Matze og nettstedets arkitekter etterlot store feil i Parlers API, koblingen mellom Parlers front-end og brukerdataene.
Se også: Elon Musk klandrer Facebook og Mark Zuckerberg for Capitol Riot
Den overveiende troen er at Parler var en forhastet, dårlig design som ble oppdratt av høyreorienterte investorer for å bli ganske stor før de virkelig hadde bygget et solid fundament, teknologisk sett, Andrew Zolides , en professor i kommunikasjon ved Xavier University som underviser i kurs i digital design fortalte Braganca. (Blant Parlers investorer er den høyreorienterte milliardæren Rebekah Mercer , som prøvde å kapitalisere på høyreorns sinne mot Twitter og Facebook for å utvide Parlers publikum.)
Mens ethvert nettsted har sine personvernproblemer, virker Parler som et spørsmål om å bli for stor, for rask og ikke ha evnen eller teknisk kunnskap til å faktisk forberede seg på det, la Zolides til.
I en kjærkommen utvikling for alle som er bekymret for anonymitet eller sikkerhet generelt, kan andre nettsteder unngå Parler-fellen ... forutsatt at de ikke er relativt nye og små nystartede selskaper som prøver å konkurrere med etablerte giganter som Twitter og Facebook, det er akkurat det Parler gjorde .
Ja, Parler kunne vært bedre designet, men realistisk sett er dette den typen problem som oppstår når du konkurrerer mot modne selskaper som har investert milliarder og milliarder dollar i sine produkter, sa Joseph Steinberg , en sikkerhetsekspert og forfatter av Cybersecurity for Dummies . Du kommer til å ha det vanskelig å designe alt du vil på en sikker måte. 
Google, Apple og Amazon har suspendert den sosiale nettverksappen Parler. Parler ble utilgjengelig i App Store, Google Play og Amazon Web Services, angivelig som sagt utilstrekkelig kontroll over brukerinnlegg som oppmuntret til vold, angivelig av media.Fotoillustrasjon av Pavlo Gonchar / SOPA Images / LightRocket via Getty Images
Først metoden for den påståtte hackingen. Før Parler ble sendt fra AWS, fant en Twitter-bruker med håndtaket @donk_enby ut hvordan man kunne laste ned nettstedets brukerdata - alt sammen, sammen med alt annet veldig offentlig bevis for at Parler-brukere hadde brutt Capitol, angrep offiserer og planla ytterligere vold. , var potensielt veldig inkriminerende, som Gizmodo rapporterte .
@donk_enby til slutt fanget opp 56 terabyte data: bilder, videoer og tekstinnlegg, hvorav mange inkluderte noen GPS-metadata som positivt plasserte Parler-brukere i og rundt Capitol 6. januar, inkludert i sikrede områder. I det minste noen av disse dataene - 56 000 gigabyte - har blitt brukt til å identifisere og pågripe opprørsdeltakere, ifølge føderale erklæringer, men det er ingen bevis som er positive for at feds brukte @ donk_envy's datatransje.
Men hvordan ble det gjort? Tidlig spekulasjon surret at @donk_enby eller en annen hacker kan ha stjålet Parler-administratorlegitimasjon, noe som ville være en ulovlig handling. Den aksepterte teorien er at, som Oppstarten rapporterte og flere sikkerhetseksperter har skissert, i stedet ble Parlers egen API brukt mot den for å arkivere nettstedets data - og for å gjøre det raskt.
Parlers designere begrenset ikke tilgangen til API-et ved å kreve godkjenning. Brukere trengte ikke spesifikk legitimasjon for å få tilgang til dataene på baksiden. Det etterlot en enorm bakdør åpen.
De fleste nettsteder som er kjent med grunnleggende sikkerhetsprotokoll, gir ikke tilgang til API-en uten noen form for brukerautentisering for å sikre at forespørselen ikke er skadelig. Som The Startup påpekte, er to vanlige autentiseringsløsninger API-nøkler og tokens, som begge krever noen gyldige legitimasjonsbeskrivelser som også lar nettstedet få vite hvem som får tilgang til dataene.
Ingen godkjenningskrav satte en dør på gløtt. På toppen av det gadd ikke Parlers designere å legge til et nytt forsvarslag i veien for hastighetsbegrensning - det vil si at i stedet for en dør på gløtt eller venstre sprukket, var døren vid åpen.
Hastighetsbegrensende grenser hvor mye data en bruker kan få tilgang til uansett legitimasjon. Nettbrukere kan ha sett 429 Too Many Request feilmeldinger ute i naturen, noe som er et tegn på at det har vært for mange bankinger eller forsøk på å passere gjennom døren. Parler hadde ikke dette heller, noe som betydde at når den usikrede bakenden ble åpnet, kunne @donk_enby også arkivere Parlers data innen 48 timer. (Merkelig nok, som The Startup påpekte, har Amazon Web Service et grunnleggende brannmuralternativ som Parler ikke så ut til å bry seg om.)
Til slutt tillot Parler også innlegg som brukerne mente ble slettet for å være både tilgjengelige og lett oppdaget når noen var i bakenden. I etterkant av de dødelige opptøyene oppfordret noen Parler-brukere, som var klar over bevisene som var tilgjengelige på nettet, andre til å slette innleggene sine fra 6. januar.
Alle innleggene til Parler fikk sekvensielle tall som økte med 1. Selv når disse innleggene ble slettet av brukeren, forble de på baksiden. @donk_enby trengte tilsynelatende bare et veldig grunnleggende skript som fant og arkiverte hvert innlegg, en etter en. Og siden Parler ikke gadd å fjerne geomerkede data fra bilder og videoer og innlegg før de ble lastet opp, satt den informasjonen også der og ventet på å bli arkivert.
Det er mulig at andre nettsteder som bruker WordPress eller annen hostingprogramvare helt kan ha lignende sikkerhetsfeil, men de er kanskje ikke beryktede nok til at disse sikkerhetsfeilene blir interesserte for årvåken hackere og dermed blir brutt.
Det er ikke uvanlig at nettsteder har sikkerhetsfeil, noen ganger viktige, som ikke blir lagt merke til fordi de ikke er populære nok til å tegne mer enn enkle, ofte automatiserte, forsøk på å kompromittere dem, sa Erich Kron, en sikkerhetsekspert med KnowBe4 , et fremtredende sikkerhetsløsningsfirma. Når nettstedet raskt blir populært, øker fokuset og kompleksiteten til disse testene, og ofte fører til at sårbarheter blir oppdaget.
Et nylig eksempel på dette fenomenet, sa Kron, var Zoom. Da COVID-19-pandemien fikk alt til å fungere eksternt, ble Zooms tidligere uoppdagede sikkerhetsfeil oppdaget, utnyttet og deretter patchet raskt. Men med Parler, da sikkerhetsleverandører begynte å slippe sin tidligere klient, forlot det Parler sårbare på en gang de var også et mål for angripere, hacktivister og andre, la Kron til.
Parler er ikke død ennå. Over helgen, noen versjon av Parler returnerte på de samme webserverne som er vert for andre frynsesider som tar imot hatytringer. Fra og med tirsdag kveld, nettstedets hjemmeside er en tekniske vanskeligheter destinasjonsside; nettstedets grunnlegger John Matze fortalte Fox News nettstedet planlegger å være fullt funksjonelt innen utgangen av måneden (selv om mobilbrukere sannsynligvis vil sitte fast ved å bruke den nettbaserte versjonen i stedet for en app). Og det er andre hjem for høyreekstreme på nettet - men som Zolides påpekte, har forum som Gab som har ytret seg til ytringer, vært mer proaktive med innholdsmoderering enn Parler.
Flere detaljer kan fremdeles komme frem om nøyaktig hvordan @donk_enby fikk tilgang til Parlers data, og om den åpne dørteorien var akkurat det som skjedde. (Og står atskilt fra cybersikkerhetsspørsmålet er spørsmål om etikk; brudd eller hack, Parlers brukerdata ble fortsatt stjålet, som Steinberg sa, og en heist er ingenting å feire.)
Forutsatt at Parlers data ble utført med dårlig design, er foreløpig den elektroniske historien om 6. januar en gjentatt selvinkriminering: umaskerte opprørere som vandrer rundt i USAs hovedstad, glatt og åpent diskuterer deres oppfylte tilleggsplaner og legger ut belastende bevis på internett alle den gangen til et nettsted som ikke var forberedt på å holde beviset anonymt eller sikkert.
