Parler, Twitter открадна това служи като един от основните организиращи инструменти за фанатиците на Доналд Тръмп който нахлу в Капитолия на САЩ на 6 януари, беше до голяма степен офлайн за повече от седмица. Но дори и в спряната анимация, предпочитаният онлайн дом за QAnon, Гордите момчета и други елементи на американската крайнодясна все още създава проблеми.
Решенията на Amazon, Apple и Google да се откажат от хостването на сайта и да забранят на мобилните потребители да изтеглят приложението предизвикаха викове за цензура на Big Tech. Първата поправка и политиката за регулиране на интернет настрана, начинът, по който Парлер излива данни на излизане от вратата, поражда сериозни въпроси, свързани с киберсигурността, както и притеснения относно това дали други играчи в интернет имат нарушения на данните в бъдещето си.
Въпреки че е невъзможно да се провери, без да се надникне под капака на Parler - задача, която сега е невъзможна, тъй като уебсайтът е офлайн - преобладаващият разказ е, че недостатък (или недостатъци) на сигурността на Parler позволи на хакер на бялата шапка да изтегли и архивира всички потребителски данни на Parler скоро преди Amazon Web Services да извади щепсела от хостинга на сайта. Сред данните, представени за достъп на обществеността (и правоприлагащите органи), в някои случаи включва потенциално инкриминиращи данни за местоположението.
Говорете разчиташе на Worpress , най-използваната в света система за управление на съдържанието. Това доведе до спекулации, че WordPress е част от недостатъка и че всеки друг, който използва WordPress, е бил в опасност. Въпреки това, според общия консенсус на експертите по киберсигурност , включително няколко контакти, свързани с тази статия, нарушаването на данните на Parler не се случи просто защото Parler използва WordPress. Вместо това потребителските данни на Parler изтекоха, защото главният изпълнителен директор John Matze и архитектите на сайта оставиха големи недостатъци в API на Parler, връзката между предния край на Parler и потребителските му данни.
Вижте също: Илон Мъск обвинява Facebook и Mark Zuckerberg за Capitol Riot
Преобладаващото убеждение е, че Parler е бърз, лош дизайн, подкрепен от дясно наклонени инвеститори, за да стане доста голям, преди наистина да е изградил солидна основа, технологично казано, Андрю Золидес , професор по комуникации в университета Ксавие, който преподава курсове по дигитален дизайн, каза на Braganca. (Сред инвеститорите на Parler са десният милиардер Ребека Мърсър , които се опитаха да се възползват от десния гняв към Twitter и Facebook, за да увеличат аудиторията на Parler.)
Въпреки че всеки уебсайт има проблеми с поверителността, Parler изглежда като проблем да стане твърде голям, твърде бърз и да няма способността или техническото ноу-хау да се подготви за това, добави Zolides.
Като приветствие за всеки, загрижен за анонимността или сигурността като цяло, други уебсайтове могат да избегнат капана на Parler ... при условие, че не са сравнително нови и малки стартиращи компании, които се опитват да се конкурират с утвърдени гиганти като Twitter и Facebook, което е точно това, което Parler направи .
Да, Parler можеше да бъде по-добре проектиран, но реално погледнато, това е проблемът, който се случва, когато се конкурирате срещу зрели компании, които са инвестирали милиарди и милиарди долари в своите продукти, - каза Джоузеф Щайнберг , експерт по сигурността и автор на Киберсигурност за манекени . Ще ви е трудно да проектирате всичко, което искате, по сигурен начин. 
Google, Apple и Amazon спряха приложението за социални мрежи Parler. Parler стана недостъпен в App Store, Google Play и Amazon Web Services, според съобщенията, като недостатъчен контрол върху публикациите на потребители, които насърчават насилието, според съобщения от медиите.Фотоилюстрация от Павло Гончар / SOPA Images / LightRocket през Getty Images
Първо, методът за предполагаемия хак. Преди Parler да бъде изтръгнат от AWS, потребител на Twitter с дръжка @donk_enby измисли как да изтегли потребителските данни на уебсайта - всичко това, заедно с каквито и да било други много публични доказателства за потребители на Parler, които нарушават Капитолия, нападат служители и планират по-нататъшно насилие , беше потенциално много уличаващо, както съобщи Gizmodo .
В крайна сметка @donk_enby събра данни на стойност 56 терабайта: снимки, видеоклипове и текстови публикации, много от които включваха някои GPS метаданни, които положително поставиха потребителите на Parler в и около Капитолия на 6 януари, включително в защитени зони. Поне част от тези данни - 56 000 гигабайта - са били използвани за идентифициране и задържане на участниците в бунтове, според федералните клетвени декларации, но няма доказателства, че федералните служители са използвали транша от данни на @ donk_envy.
Но как беше направено? В началото се появиха спекулации, че @donk_enby или друг хакер може да са откраднали администраторски данни на Parler, което би било незаконно действие. Приетата теория е, че, както Стартирането съобщава и няколко експерти по сигурността очертаха, вместо това собственият API на Parler беше използван срещу него, за да архивира данните на уебсайта - и то бързо.
Дизайнерите на Parler не ограничават достъпа до API, като изискват удостоверяване. Потребителите не се нуждаеха от конкретни идентификационни данни за достъп до данните на задната страна. Това остави огромна задна врата отворена.
Повечето уебсайтове, запознати с основния протокол за сигурност, не позволяват достъп до API без някаква форма на удостоверяване на потребителя, за да се гарантира, че заявката не е злонамерена. Както The Startup посочи, две често срещани решения за удостоверяване са API ключове и маркери, които изискват някои валидни идентификационни данни, които също позволяват на уебсайта да знае кой има достъп до данните.
Никакво изискване за удостоверяване не остави вратата открехната. На всичкото отгоре дизайнерите на Parler не са си направили труда да добавят втори слой защита по начин за ограничаване на скоростта - което означава, че вместо открехната или оставена напукана врата, вратата е била широко отворена.
Ограничаване на скоростта ограничава до колко данни може да има достъп потребителят, независимо от идентификационните данни. Потребителите на мрежата може да са видели 429 твърде много съобщения за грешки в заявката в дивата природа, което е знак, че е имало твърде много удари или опити за преминаване през вратата. Parler също не разполагаше с това, което означаваше, че след като се осъществи достъп до необезопасения заден край, @donk_enby също успя да архивира данните на Parler в рамките на 48 часа. (Колкото и да е странно, както посочи The Startup, Amazon Web Service има основна опция за защитна стена, с която Parler не изглежда да се занимава.)
И накрая, Parler също така позволи публикациите, за които потребителите му смятаха, че са изтрити, да бъдат едновременно достъпни и лесно откриваеми, след като някой е в задната част. След смъртоносните бунтове някои потребители на Parler, знаейки за наличните доказателства в мрежата, насърчиха други да изтрият публикациите си от 6 януари.
Всички публикации на Parler получиха последователни номера, които се увеличиха с 1. Дори когато тези публикации бяха изтрити от потребителя, те останаха на задната страна. @donk_enby очевидно е трябвало да напише само много основен скрипт, който да открива и архивира всяка публикация, една по една. И тъй като Parler не си направи труда да премахне географски маркирани данни от снимки и видеоклипове и публикации, преди да бъдат качени, тази информация също седеше там и чакаше да бъде архивирана.
Възможно е други уебсайтове, които използват WordPress или друг хостинг софтуер като цяло, да имат подобни недостатъци в сигурността, но те също може да не са достатъчно скандални, за да могат тези недостатъци да станат интерес на хакери от бдителност и по този начин да бъдат нарушени.
Не са редки случаите, когато уебсайтовете имат недостатъци в сигурността, понякога значителни, които остават незабелязани, тъй като не са достатъчно популярни, за да привлекат повече от прости, често автоматизирани опити за компрометиране, каза Ерих Крон, експерт по сигурността с KnowBe4 , известна фирма за решения за сигурност. Когато сайтът стане популярен бързо, фокусът и сложността на тези тестове се увеличават, което често води до откриване на уязвимости.
Един от последните примери за това явление, каза Крон, беше Zoom. Когато пандемията на COVID-19 накара всички да работят отдалечено, неоткритите преди това недостатъци в сигурността на Zoom бяха открити, експлоатирани и след това бързо закърпени. Но с Parler, когато доставчиците на сигурност започнаха да изхвърлят бившия си клиент, той остави Parler уязвим в момент, когато те също бяха обект на нападатели, хактивисти и други, добави Kron.
Parler все още не е мъртъв. През уикенда, върна се някаква версия на Parler на същите уеб сървъри, които хостват други сайтове, които приветстват речта на омразата. От вторник вечерта, началната страница на сайта е a техническа трудност целевата страница; основателят на сайта Джон Матце каза пред Fox News уебсайтът планира да бъде напълно функционален до края на месеца (въпреки че мобилните потребители вероятно ще останат с помощта на уеб-базираната версия вместо приложение). Има и други домове за онлайн крайно десни - въпреки че, както посочи Золидес, форумите със свободна реч като Gab са по-активни с модерацията на съдържанието от Parler.
Все още може да се появят повече подробности за това как @donk_enby е осъществил достъп до данните на Parler и дали теорията на отворените врати е точно това, което се е случило. (И отделно от въпроса за киберсигурността са етичните въпроси; нарушаване или хакване, потребителските данни на Parler все още са били откраднати, както каза Steinberg, и обир не е за празнуване.)
Ако приемем, че данните на Парлер са направени по лош дизайн, засега онлайн историята от 6 януари е една от многократните самоинкриминации: разоблачени бунтовници, скитащи се из Капитолия на САЩ, радостно и открито обсъждат своите провалени допълнителни планове, публикувайки уличаващи доказателства в интернет всички докато към уебсайт, който не е бил подготвен да запази тези доказателства анонимни или защитени.
