Parler, Twitter-en rip-off hori Donald Trump fanatikoen antolaketa tresna nagusietako bat izan zen urtarrilaren 6an AEBetako Kapitolioa erasotu zuena izan da neurri handi batean offline astebete baino gehiagoz. Baina animazio etenetan ere, QAnon, Proud Boys eta eskuin muturreko estatubatuarreko beste elementu batzuentzako lineako etxea nahiago izaten jarraitzen du arazoak sortzen.
Amazon, Apple eta Google-k gunea ostatatzeari uzteko eta mugikorreko erabiltzaileei aplikazioa deskargatzea debekatzeko erabakiek Big Tech zentsuraren oihuak eragin dituzte. Lehenengo zuzenketa eta Interneteko erregulazio politika alde batera utzita, Parlerrek atetik ateratzen zituen datuak modu zibersegurtasuneko galdera larriak sortzen ditu, baita Interneteko beste jokalariek beren etorkizunean datu urraketarik duten ala ez kezkatzen ere.
Parler-en kaputxaren azpian begiratu gabe egiaztatzea ezinezkoa den arren (orain webgunea lineaz kanpo dagoenez ezinezkoa da zeregina), nagusitzen den kontakizuna da Parler segurtasun akatsak (edo akatsak) txapela zuriko hacker batek Parler-en erabiltzaileen datu guztiak laster deskargatu eta artxibatzea ahalbidetu zuela. Amazon Web Services-ek gunea ostatatzeko entxufea atera aurretik. Jendeak (eta legea betearazteko) sartzeko aurkeztutako datuen artean, zenbait kasutan, kokapen-datuak salatu ditzake.
Hitz egin Worpress-en oinarritu zen , munduko edukien kudeaketa sistema erabiliena. Horrek pentsatu du WordPress akatsaren parte zela eta WordPress erabiltzen duen beste edonork arriskuan zegoela. Hala ere, zibersegurtasuneko adituen adostasun orokorraren arabera , artikulu honetarako harremanetan jarritako hainbat barne, Parler-en datuen urraketa ez da Parler-ek WordPress erabiltzen zuelako soilik gertatu. Horren ordez, Parler-en erabiltzaileen datuak filtratu ziren, John Matze zuzendari nagusiak eta guneko arkitektoek akats handiak utzi zituztelako Parler-en APIan, Parler-en frontend-aren eta erabiltzaileen datuen arteko loturan.
Ikusi ere: Elon Musk-ek Facebook eta Mark Zuckerberg-i egotzi die Capitol Riot-i
Uste nagusia da Parler eskuineko joera duten inbertitzaileek bultzatutako diseinu eskasa zela, nahiko handia izan zedin, oinarri sendoak eraiki aurretik, teknologikoki hitz eginez, Andrew Zolides , Xavier Unibertsitateko komunikazio irakaslea eta diseinu digitalari buruzko ikastaroak ematen ditu Braganca-i. (Parler-en inbertitzaileen artean dira Rebekah Mercer eskuindar miliardarioa , Twitterren eta Facebooken eskuineko haserrea kapitalizatzen saiatu zen Parler-en audientzia handitzeko.)
Edozein webgunek pribatutasun arazoak baditu ere, Parler handiegia, azkarregi eta hori benetan prestatzeko gaitasuna edo ezagutza teknikoa ez izatearen arazoa dela dirudi, gehitu du Zolidesek.
Anonimotasunaz edo segurtasunaz kezkatuta dagoen edonori ongi etorritako garapenean, beste webgune batzuek Parler tranpa ekidin dezakete ... baldin eta Twitter eta Facebook bezalako erraldoi finkoekin lehiatzen saiatzen diren startup nahiko berriak eta txikiak ez badira, hori da Parlerrek egin zuena. .
Bai, Parler hobeto diseinatuta egon zitekeen, baina modu errealean hitz eginda, hau da produktuetan milaka eta milaka milioi dolar inbertitu dituzten enpresa helduen aurka lehiatzen zarenean gertatzen den arazoa. esan zuen Joseph Steinbergek , segurtasun aditua eta egilea Zibersegurtasuna manikientzat . Zail izango duzu nahi duzun guztia modu seguruan diseinatzea. 
Googlek, Applek eta Amazonek Parler sare sozialen aplikazioa bertan behera utzi dute. Parler ez zegoen erabilgarri App Store, Google Play eta Amazon Web Services zerbitzuetan, komunikabideek jakinarazi dutenez, indarkeria bultzatzen zuten erabiltzaileen argitalpenen gaineko kontrol nahikoa ez zela esan zuen.Pavlo Gonchar / SOPA Images / LightRocket-en argazki ilustrazioa Getty Images bidez
Lehenik eta behin, ustezko hack egiteko metodoa. Parler AWStik atera aurretik, @donk_enby heldulekua zuen Twitter erabiltzaile batek webguneko erabiltzaileen datuak nola deskargatu asmatu zuen; hori guztia, Parler erabiltzaileek Kapitolioa urratu zuten, ofizialak erasotzen zituzten eta indarkeria gehiago asmatzen zituzten beste froga publikoekin batera. , oso potentziala zen, Gizmodo-k jakinarazi duenez .
@donk_enby-k 56 terabyte-ko datuak eskuratu zituen azkenean: argazkiak, bideoak eta testu mezuak, horietako askok Parler erabiltzaileak urtarrilaren 6an Parler erabiltzaileak Kapitolioan eta inguruan modu positiboan jarri zituzten GPS metadatu batzuk biltzen zituzten, baita segurtasun guneetan ere. Datu horietako batzuk, gutxienez, 56.000 gigabyte, istiluen parte-hartzaileak identifikatzeko eta atzemateko erabili dira, zinpeko aitorpen federalen arabera, baina ez dago frogarik positiboek federatuek @ donk_envy-ren datu zatia erabili zutela.
Baina nola egin zen? Espekulazio goiztiarrak esan zuen @donk_enby edo beste hacker batek Parler administratzailearen egiaztagiriak lapurtu zituela, legez kanpoko ekintza litzatekeela. Onartutako teoria hori da Abiaraztea jakinarazi du eta segurtasuneko hainbat adituk azaldu dute, horren ordez, Parler-en API propioa erabili zela horren aurka webguneko datuak artxibatzeko-eta azkar egiteko.
Parler-en diseinatzaileek ez zuten APIra sartzea mugatu autentifikazioa eskatuz. Erabiltzaileek ez zuten kredentzial zehatzik behar atzealdeko datuetara sartzeko. Horrek atzeko ate izugarria irekita utzi zuen.
Oinarrizko segurtasun protokoloaz jabetzen diren webgune gehienek ez dute baimentzen APIra sarbidea erabiltzailearen autentifikaziorik egin gabe eskaera kaltegarria ez dela ziurtatzeko. The Startup-ek adierazi zuen bezala, bi autentifikazio-konponbide komun API APIak eta tokenak dira, biek baliozko egiaztagiriak behar dituztenak, webguneak datuak nork atzitzen duen jakiteko aukera ere ematen dutenak.
Ez du autentifikazio eskakizunik atea zabalik uzten. Horrez gain, Parler-en diseinatzaileek ez zuten kezkatu bigarren defentsa geruza bat gehitzeko tasa murrizteko moduan, hau da, atea zabalik edo pitzatuta utzi beharrean, atea zabalik zegoen.
Tasa mugatzen du erabiltzaile batek zenbat datu sar ditzakeen egiaztagiriak kontuan hartu gabe. Baliteke web erabiltzaileek 429 gehiegi eskatzea errore mezuak basoan ikustea, hau da, atetik kolpeak edo saiakera gehiegi egon direnaren seinale. Parlerrek ere ez zuen hori, eta horrek esan nahi du segurtasunik gabeko atzealdea atzitu ondoren, @donk_enby-k ere Parler-en datuak 48 ordutan artxibatu ahal izan dituela. (Bitxia bada ere, The Startup-ek adierazi zuen bezala, Amazon Web Service-k oinarrizko suebaki aukera bat du Parlerrek ez zituela traba egiten).
Azkenean, Parler-ek erabiltzaileen ustez ezabatutako mezuak eskuragarri eta erraz aurkitu ahal izan zituen norbait atzeko aldean zegoenean. Istilu hilgarrien ostean, Parler erabiltzaile batzuek, sarean dauden ebidentziaren berri jakitean, beste batzuk urtarrilaren 6tik aurrera beren mezuak ezabatzera animatu zituzten.
Parler-en argitalpen guztiei zenbaki sekuentzialak eman zitzaizkien 1. Gehitu egin ziren erabiltzaileak mezu horiek ezabatu zituenean, atzeko aldean geratu ziren. @donk_enby-k, itxuraz, mezu bakoitza aurkitu eta artxibatu zuen script oinarrizko bat idatzi behar zuen banan-banan. Eta Parlerrek argazki, bideo eta mezuetatik geoetiketatutako datuak kendu aurretik kezkatu ez zituenez, informazio hori ere han zegoen artxibatu zain.
Baliteke WordPress edo beste ostalaritza software bat erabiltzen duten beste webgune batzuek antzeko segurtasun akatsak izatea, baina, era berean, agian ez dira nahikoa gaiztoak izan segurtasun akats horiek erne ibiltarien interesen bilakatu daitezen eta, beraz, urratu ditzaten.
Ez da arraroa webguneek segurtasun akatsak izatea, batzuetan esanguratsuak, oharkabean pasatzen dituztenak, ez baitira nahikoa ezagunak haiek arriskuan jartzeko saiakera soilak, askotan automatizatuak baino gehiago marrazteko, esan zuen Erich Kron segurtasun adituak EzagutuBe4 , segurtasun irtenbideen enpresa nabarmena. Gunea azkar ezagutzera ematen denean, proba hauen arreta eta konplexutasuna areagotzen dira, eta askotan ahultasunak aurkitzen dira.
Fenomeno horren azken adibide bat, Kronen esanetan, Zoom izan zen. COVID-19 pandemiak guztiak urruneko lana egin zuenean, aurrez antzeman ez ziren segurtasun akatsak aurkitu, ustiatu eta gero azkar konpondu ziren. Parler-ekin batera, segurtasun saltzaileak lehengo bezeroa uzten hasi zirenean, Parler zaurgarria utzi zuen erasotzaileen, hacktibisten eta beste batzuen jomuga ziren aldi berean, gehitu zuen Kronek.
Parler oraindik ez dago hilda. Asteburuan, Parler-en bertsio batzuk itzuli ziren gorroto diskurtsoari ongietorria ematen dioten beste gune mugak hartzen dituzten web zerbitzarietan. Astearte arratsaldetik aurrera, gunearen hasierako orria a da zailtasun teknikoak helmuga orria; gunearen sortzailea John Matze esan dio Fox News-i webguneak hilaren amaierarako guztiz funtzionala izatea aurreikusten du (mugikorreko erabiltzaileak seguruenik aplikazio baten ordez webean oinarritutako bertsioa erabiliz itsatsita egongo dira). Eta badira beste etxe batzuk lineako eskuin muturrarentzat ere, nahiz eta, Zolidesek adierazi zuen bezala, Gab bezalako hizketarako askatasuneko foroak Parlerrek baino eduki proaktiboagoekin aktiboagoak izan diren.
Baliteke oraindik xehetasun gehiago azaleratzea @donk_enby-k Parler-en datuak nola sartu zituen eta ate irekien teoria gertatu zen zehazki. (Eta zibersegurtasuneko galderatik bereizita daude etika kontuak; arau-haustea edo haustura, Parler-en erabiltzaileen datuak lapurtu zituzten oraindik, Steinberg-ek esan zuen moduan, eta lapurreta bat ez da ospatzeko ezer.)
Parler-en datuak diseinu txarrez eginak direla suposatuz, oraingoz, urtarrilaren 6ko lineako istorioa autoinkulpazio errepikatua da: maskara gabeko istiluak AEBetako Kapitolioan dabiltzanak, beren plan osagarri zapuztuak alaitasunez eta modu irekian eztabaidatzen dituztenak, froga inkriminatzaileak interneten argitaratuz. bitartean, froga horiek anonimoak edo seguruak izateko prestatuta ez zegoen webgune batera.
