Parler, Twitter repii sen pois toimi yhtenä tärkeimmistä järjestelytyökaluista Donald Trumpin fanaatikoille joka hyökkäsi Yhdysvaltain Capitoliin 6. tammikuuta, on ollut suurelta osin offline-tilassa yli viikon ajan. Mutta jopa keskeytetyssä animaatiossa QAnonin, Proud Boysin ja muiden amerikkalaisten äärioikeistojen ensisijainen verkkokoti aiheuttaa edelleen ongelmia.
Amazonin, Applen ja Googlen päätökset lopettaa sivuston isännöinti ja kieltää mobiilikäyttäjät lataamasta sovellusta ovat herättäneet Big Tech -sensuurihuutoja. Ensimmäinen tarkistus ja Internet-sääntelypolitiikka syrjään, tapa, jolla Parler hankkii tietoja ulos ovelta, herättää vakavia kyberturvallisuuskysymyksiä sekä huolta siitä, onko muilla Internetin pelaajilla tulevaisuudessa tietorikkomuksia.
Vaikka on mahdotonta tarkistaa ilman kurkistamista Parlerin hupun alle - tehtävä on nyt mahdoton, koska verkkosivusto on offline-tilassa -, vallitseva kertomus on, että Parlerin tietoturva-aukko (tai puutteet) antoi valkoihoisen hakkerin ladata ja arkistoida kaikki Parlerin käyttäjätiedot pian ennen kuin Amazon Web Services veti pistokkeen sivuston ylläpitoon. Yleisön (ja lainvalvontaviranomaisten) saataville toimitettavien tietojen joukossa oli joissakin tapauksissa mahdollisesti syyttäviä sijaintitietoja.
Puhua luotti Worpressiin , maailman eniten käytetty sisällönhallintajärjestelmä. Se on johtanut spekulointiin, että WordPress oli osa virhettä ja että kukaan muu WordPressiä käyttävä oli vaarassa. Kuitenkin, kyberturvallisuusasiantuntijoiden yleisen yksimielisyyden mukaan , mukaan lukien useat tämän artikkelin yhteydessä otetut, Parlerin tietoturvaloukkauksia ei tapahtunut pelkästään siksi, että Parler käytti WordPressiä. Sen sijaan Parlerin käyttäjätiedot vuotivat, koska toimitusjohtaja John Matze ja sivuston arkkitehdit jättivät merkittäviä puutteita Parlerin sovellusliittymässä, linkissä Parlerin käyttöliittymän ja sen käyttäjätietojen välillä.
Katso myös: Elon Musk syyttää Facebookia ja Mark Zuckerbergia Capitol Riotista
Vallitseva usko on, että Parler oli kiireinen, huono muotoilu, jota oikeanpuoleiset sijoittajat käyttivät, jotta siitä tulisi melko suuri, ennen kuin he todella olivat rakentaneet vankan perustan teknologisesti, Andrew Zolides , Xavierin yliopiston viestinnän professori, joka opettaa digitaalisen suunnittelun kursseja, kertoi Bragancaille. (Parlerin sijoittajien joukossa ovat oikeistolainen miljardööri Rebekah Mercer , joka yritti hyödyntää oikeistolaista vihaa Twitterissä ja Facebookissa Parlerin yleisön kasvattamiseksi.)
Vaikka millä tahansa verkkosivustolla on yksityisyydensuojaongelmia, Parler näyttää olevan kysymys liian suuresta, liian nopeasta ja sillä ei ole kykyä tai teknistä tietotaitoa varautua siihen, Zolides lisäsi.
Tervetuloa kaikille niille, jotka ovat huolissaan nimettömyydestä tai yleisestä turvallisuudesta, muut sivustot voivat välttää Parler-ansan ... edellyttäen, että ne eivät ole suhteellisen uusia ja pieniä startup-yrityksiä, jotka yrittävät kilpailla vakiintuneiden jättiläisten, kuten Twitter ja Facebook, kanssa, mitä Parler teki .
Kyllä, Parler olisi voitu suunnitella paremmin, mutta realistisesti ottaen tämä on sellainen ongelma, joka tapahtuu, kun kilpailet kypsien yritysten kanssa, jotka ovat sijoittaneet miljardeja ja miljardeja dollareita tuotteisiinsa, sanoi Joseph Steinberg , turvallisuusasiantuntija ja kirjoittaja Kyberturvallisuus nukkeille . Sinulla on vaikea suunnitella kaikkea mitä haluat turvallisella tavalla. 
Google, Apple ja Amazon ovat keskeyttäneet sosiaalisen verkostoitumisen sovelluksen Parler. Parlerista ei tullut saataville App Storessa, Google Playssa ja Amazon Web Services -palveluissa.Valokuva: Pavlo Gonchar / SOPA Images / LightRocket kautta Getty Images
Ensinnäkin menetelmä väitetylle hakkeroinnille. Ennen kuin Parler karkotettiin AWS: ltä, Twitter-käyttäjä, jolla oli kahva @donk_enby, tajusi kuinka ladata verkkosivuston käyttäjätiedot - kaikki, samoin kuin mikä tahansa muu hyvin julkinen näyttö Parlerin käyttäjien rikkomuksesta Capitolista, hyökkäyksestä upseereihin ja uuden väkivallan suunnittelusta , oli mahdollisesti erittäin syyttävä, kuten Gizmodo kertoi .
@donk_enby tarttui lopulta 56 teratavun arvoiseen dataan: valokuviin, videoihin ja tekstiviesteihin, joista monet sisälsivät joitain GPS-metatietoja, jotka asettivat Parlerin käyttäjät positiivisesti Capitoliin ja sen ympäristöön 6. tammikuuta, myös suojatuilla alueilla. Ainakin joitain näistä tiedoista - 56 000 gigatavua - on käytetty mellakan osallistujien tunnistamiseen ja kiinniottamiseen liittovaltion valaehtoisten lausuntojen mukaan, mutta ei ole todisteita siitä, että fededit käyttivät @ donk_envyn dataa.
Mutta miten se tehtiin? Varhaiset spekulaatiot huusivat, että @donk_enby tai joku muu hakkeri on voinut varastaa Parlerin järjestelmänvalvojan tunnistetiedot, mikä olisi laitonta toimintaa. Hyväksytty teoria on, että kuten Käynnistys raportoitu ja useat tietoturva-asiantuntijat ovat hahmottaneet, sen sijaan Parlerin omaa sovellusliittymää käytettiin sitä vastaan verkkosivujen tietojen arkistointiin - ja tekemään niin nopeasti.
Parlerin suunnittelijat eivät rajoittaneet käyttöliittymän käyttöä vaatimalla todennusta. Käyttäjät eivät tarvinneet erityisiä kirjautumistietoja, jotta he voivat käyttää taustapuolen tietoja. Se jätti valtavan takaoven auki.
Suurin osa verkkosivustoista, jotka ovat tietoisia perusturvaprotokollasta, eivät salli käyttöliittymän käyttöä ilman jonkinlaista käyttäjän todennusta, jotta pyyntö ei olisi haitallinen. Kuten Startup huomautti, kaksi yleistä todennusratkaisua ovat API-avaimet ja tunnukset, jotka molemmat vaativat kelvollisia tunnistetietoja, joiden avulla verkkosivusto voi myös tietää, kuka käyttää tietoja.
Mitään todennusvaatimusta ei jätetty ovea raolla. Tämän lisäksi Parlerin suunnittelijat eivät vaivautuneet lisäämään toista puolustuskerrosta nopeudenrajoituksella - tarkoittaen, että ovi oli raolla tai vasemmalle halkeiltu, ovi oli auki.
Nopeudenrajoitin rajoittaa sitä, kuinka paljon dataa käyttäjä voi käyttää kirjautumistiedoista riippumatta. Verkkokäyttäjät ovat saattaneet nähdä 429 liian monta pyyntövirheilmoitusta luonnossa, mikä on merkki siitä, että koputuksia tai yrityksiä on liikuttu oven läpi. Parlerilla ei ollut myöskään tätä, mikä tarkoitti sitä, että kun suojaamaton takapää oli käytössä, @donk_enby pystyi myös arkistoimaan Parlerin tiedot 48 tunnin kuluessa. (Kummallista kyllä, kuten The Startup huomautti, Amazon Web Servicellä on peruspalomuuri-vaihtoehto, jota Parler ei näyttänyt häiritsevän.)
Lopuksi, Parler antoi myös viestien, joiden uskottiin poistettujen käyttäjien olevan sekä saatavilla että helposti löydettävissä, kun joku oli takana. Tappavien mellakoiden seurauksena jotkut Parler-käyttäjät, jotka olivat tietoisia verkossa saatavista todisteista, kannustivat muita poistamaan virkansa 6. tammikuuta.
Kaikille Parlerin viesteille annettiin järjestysnumerot, jotka kasvoivat yhdellä. Vaikka käyttäjä poistaisikin nämä viestit, ne pysyivät takana. @donk_enby tarvitsi ilmeisesti kirjoittaa vain hyvin perustavan käsikirjoituksen, joka löysi ja arkistoi jokaisen viestin yksitellen. Ja koska Parler ei vaivautunut poistamaan maantieteellisesti merkittyjä tietoja valokuvista, videoista ja viesteistä ennen niiden lähettämistä, myös nämä tiedot istuivat siellä ja odottivat arkistointia.
On mahdollista, että muilla WordPressiä tai muita hosting-ohjelmistoja kokonaan käyttävillä verkkosivustoilla saattaa olla samanlaisia tietoturva-aukkoja, mutta ne eivät myöskään välttämättä ole niin surullisia, että nämä tietoturva-aukot tulevat valppaiden hakkereiden kiinnostuksen kohteeksi ja siten rikkoutuvat.
Ei ole harvinaista, että verkkosivustoilla on tietoturva-aukkoja, joskus merkittäviä, jotka jäävät huomaamatta, koska ne eivät ole tarpeeksi suosittuja piirtämään enemmän kuin yksinkertaisia, usein automatisoituja yrityksiä kompromisseihin, kertoi Erich Kron, turvallisuusasiantuntija KnowBe4 , merkittävä tietoturvaratkaisujen yritys. Kun sivusto tulee nopeasti suosituksi, näiden testien kohdistus ja monimutkaisuus lisääntyvät, mikä johtaa usein haavoittuvuuksien löytämiseen.
Yksi viimeaikainen esimerkki tästä ilmiöstä, Kron sanoi, oli Zoom. Kun COVID-19-pandemia teki kaiken etätyön, Zoomin aiemmin havaitsemattomat tietoturva-aukot löydettiin, hyödynnettiin ja korjataan nopeasti. Mutta Parlerin kanssa, kun tietoturvamyyjät alkoivat kaataa entistä asiakasta, se jätti Parlerin haavoittuvaksi kerrallaan, kun he olivat myös hyökkääjien, hacktivistien ja muiden kohde, Kron lisäsi.
Parler ei ole vielä kuollut. Viikonlopun yli, jokin Parler-versio palasi samoilla web-palvelimilla, jotka isännöivät muita vihamielistä sisältöä tervehtiviä sivuja. Tiistai-iltana alkaen sivuston kotisivu on a aloitussivun tekniset vaikeudet; sivuston perustaja John Matze kertoi Fox News verkkosivuston suunnitellaan olevan täysin toimiva kuukauden loppuun mennessä (vaikka mobiilikäyttäjät todennäköisesti juuttuvat käyttämään verkkopohjaista versiota sovelluksen sijaan). Ja online-äärioikeistolla on muitakin koteja - vaikka, kuten Zolides huomautti, sananvapaan keskustelun foorumit, kuten Gab, ovat olleet aktiivisempia sisällön maltillisuuden suhteen kuin Parler.
Saattaa vielä tulla esiin lisätietoja siitä, miten @donk_enby pääsi Parlerin tietoihin ja onko avoimen oven teoria juuri tapahtunut. (Ja seisominen erillään kyberturvallisuuskysymyksestä ovat eettisiä kysymyksiä; rikkominen tai hakkerointi, Parlerin käyttäjätiedot varastettiin edelleen, kuten Steinberg sanoi, ja ryöstö ei ole mikään juhlia.)
Olettaen, että Parlerin tiedot on tehty huonolla suunnittelulla, toistaiseksi 6. tammikuuta julkaistu verkkotarina on toistuvaa itsensä syyttämistä: paljastetut mellakoitsijat, jotka vaeltelevat Yhdysvaltain Capitolissa, keskustelevat iloisesti ja avoimesti rikkoutuneista lisäsuunnitelmistaan ja lähettävät syyttäviä todisteita Internetiin. samalla verkkosivustolle, joka ei ollut valmis pitämään todisteita nimettöminä tai suojatuina.
