Parler, de Twitter-rip-off die diende als een van de belangrijkste organisatietools voor de Donald Trump-fanaten die op 6 januari het Amerikaanse Capitool bestormde, is grotendeels offline voor meer dan een week. Maar zelfs in schijndood zorgt het favoriete online huis van QAnon, de Proud Boys en andere elementen van extreemrechts in Amerika nog steeds voor problemen.
Beslissingen van Amazon, Apple en Google om te stoppen met het hosten van de site en mobiele gebruikers te verbieden de app te downloaden, hebben geleid tot kreten van Big Tech-censuur. Afgezien van het eerste amendement en de politiek van internetregulering, roept de manier waarop Parler gegevens naar buiten verspreidde ernstige cyberbeveiligingsvragen op, evenals zorgen over de vraag of andere spelers op internet in de toekomst datalekken hebben.
Hoewel het onmogelijk is om te verifiëren zonder onder Parler's motorkap te kijken - een taak die nu onmogelijk is omdat de website offline is - is het heersende verhaal dat een Parler-beveiligingsfout (of -fouten) een white-hat-hacker in staat stelde om alle gebruikersgegevens van Parler binnenkort te downloaden en te archiveren voordat Amazon Web Services de stekker uit het hosten van de site trok. Tot de gegevens die voor het publiek (en wetshandhavers) werden aangeboden, behoorden in sommige gevallen mogelijk belastende locatiegegevens.
Spreken vertrouwde op Worpress , 's werelds meest gebruikte contentmanagementsysteem. Dat heeft geleid tot speculatie dat WordPress deel uitmaakte van de fout en dat iedereen die WordPress gebruikte in gevaar was. Echter, volgens een algemene consensus van cyberbeveiligingsexperts , waaronder verschillende personen die voor dit artikel zijn benaderd, gebeurde het datalek van Parler niet alleen omdat Parler WordPress gebruikte. In plaats daarvan lekten de gebruikersgegevens van Parler omdat CEO John Matze en de architecten van de site grote fouten hadden gemaakt in de API van Parler, de koppeling tussen de front-end van Parler en de gebruikersgegevens.
Zie ook: Elon Musk geeft Facebook en Mark Zuckerberg de schuld van Capitol Riot
De overheersende overtuiging is dat Parler een gehaast, slecht ontwerp was dat door rechtse investeerders werd gestimuleerd om behoorlijk groot te worden voordat ze echt een solide basis hadden gelegd, technologisch gezien, Andrew Zolides , een professor in communicatie aan de Xavier University die cursussen geeft in digitaal ontwerp, vertelde Braganca. (Onder de investeerders van Parler) zijn de rechtse miljardair Rebekah Mercer , die probeerde te profiteren van de rechtse woede op Twitter en Facebook om het publiek van Parler te vergroten.)
Hoewel elke website zijn privacyproblemen heeft, lijkt Parler een kwestie van te groot en te snel worden en niet de mogelijkheid of technische knowhow hebben om zich daar daadwerkelijk op voor te bereiden, voegde Zolides eraan toe.
In een welkome ontwikkeling voor iedereen die zich zorgen maakt over anonimiteit of veiligheid in het algemeen, kunnen andere websites de Parler-val vermijden... op voorwaarde dat het geen relatief nieuwe en kleine startups zijn die proberen te concurreren met gevestigde giganten zoals Twitter en Facebook, en dat is precies wat Parler deed .
Ja, Parler had beter ontworpen kunnen zijn, maar realistisch gezien is dit het soort probleem dat zich voordoet als je concurreert met volwassen bedrijven die miljarden en miljarden dollars in hun producten hebben geïnvesteerd. zei Joseph Steinberg , een beveiligingsexpert en auteur van Cyberbeveiliging voor Dummies . Je zult het moeilijk hebben om alles wat je wilt op een veilige manier te ontwerpen. 
Google, Apple en Amazon hebben de sociale netwerk-app Parler opgeschort. Parler werd niet meer beschikbaar in de App Store, Google Play en Amazon Web Services, naar verluidt onvoldoende controle over gebruikersberichten die geweld aanmoedigden, naar verluidt door de media.Foto-illustratie door Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Ten eerste de methode voor de vermeende hack. Voordat Parler van AWS werd geplukt, bedacht een Twitter-gebruiker met het handvat @donk_enby hoe hij de gebruikersgegevens van de website kon downloaden - dit alles, samen met alle andere zeer openbare bewijzen van Parler-gebruikers die het Capitool overtreden, officieren aanvielen en verder geweld beraamden , was potentieel zeer belastend, zoals Gizmodo meldde .
@donk_enby kreeg uiteindelijk 56 terabytes aan gegevens: foto's, video's en tekstberichten, waarvan vele enkele GPS-metadata bevatten die Parler-gebruikers op 6 januari positief in en rond het Capitool brachten, ook in beveiligde gebieden. Volgens federale verklaringen is ten minste een deel van deze gegevens - 56.000 gigabyte - gebruikt om deelnemers aan de rellen te identificeren en te arresteren, maar er is geen bewijs dat de FBI de gegevenstranche van @donk_envy heeft gebruikt.
Maar hoe is het gedaan? Vroege speculaties deden de ronde dat @donk_enby of een andere hacker de Parler-beheerdersgegevens zou hebben gestolen, wat een illegale handeling zou zijn. De geaccepteerde theorie is dat, zoals De opstart gemeld en verschillende beveiligingsexperts hebben geschetst, in plaats daarvan werd Parler's eigen API ertegen gebruikt om de gegevens van de website te archiveren - en om dit snel te doen.
De ontwerpers van Parler hebben de toegang tot de API niet beperkt door authenticatie te eisen. Gebruikers hadden geen specifieke inloggegevens nodig om toegang te krijgen tot de gegevens op de backend. Dat liet een enorme achterdeur open.
De meeste websites die bekend zijn met het basisbeveiligingsprotocol staan geen toegang tot de API toe zonder enige vorm van gebruikersauthenticatie om ervoor te zorgen dat het verzoek niet kwaadaardig is. Zoals The Startup opmerkte, zijn twee veelvoorkomende authenticatieoplossingen API-sleutels en tokens, die beide een aantal geldige inloggegevens vereisen waarmee de website ook weet wie toegang heeft tot de gegevens.
Geen authenticatievereiste liet een deur op een kier staan. Bovendien namen de ontwerpers van Parler niet de moeite om een tweede verdedigingslaag toe te voegen in de vorm van snelheidsbeperkende middelen - wat inhoudt dat de deur wijd open stond in plaats van een deur op een kier of op een kier te laten staan.
Snelheidsbeperkende limieten hoeveel gegevens een gebruiker kan openen, ongeacht inloggegevens. Webgebruikers hebben mogelijk 429 Too Many Request-foutmeldingen in het wild gezien, wat een teken is dat er te veel is geklopt of geprobeerd door de deur te gaan. Parler had dit ook niet, wat betekende dat zodra de onbeveiligde back-end was geopend, @donk_enby ook in staat was om de gegevens van Parler binnen 48 uur te archiveren. (Vreemd genoeg, zoals The Startup opmerkte, heeft Amazon Web Service een basisfirewalloptie waar Parler zich geen zorgen over leek te maken.)
Ten slotte stond Parler ook toe dat berichten waarvan de gebruikers dachten dat ze waren verwijderd, zowel beschikbaar als gemakkelijk te ontdekken waren zodra iemand aan de achterkant was. In de nasleep van de dodelijke rellen moedigden sommige Parler-gebruikers, die zich bewust waren van de enorme hoeveelheid bewijsmateriaal op internet, anderen aan om hun berichten vanaf 6 januari te verwijderen.
Alle posts van Parler kregen volgnummers die met 1 toenamen. Zelfs toen die posts door de gebruiker werden verwijderd, bleven ze aan de achterkant. @donk_enby hoefde blijkbaar alleen een heel eenvoudig script te schrijven dat elk bericht één voor één vond en archiveerde. En aangezien Parler niet de moeite nam om geo-getagde gegevens van foto's, video's en berichten te verwijderen voordat ze werden geüpload, lag die informatie daar ook te wachten om te worden gearchiveerd.
Het is mogelijk dat andere websites die WordPress of andere hostingsoftware gebruiken vergelijkbare beveiligingsfouten hebben, maar ze zijn misschien ook niet berucht genoeg om ervoor te zorgen dat die beveiligingsfouten de interesse van vigilante hackers worden en dus worden geschonden.
Het is niet ongebruikelijk dat websites beveiligingsfouten vertonen, soms aanzienlijke, die onopgemerkt blijven omdat ze niet populair genoeg zijn om meer te tekenen dan eenvoudige, vaak geautomatiseerde, pogingen om ze te compromitteren, zei Erich Kron, een beveiligingsexpert bij KnowBe4 , een vooraanstaand bedrijf voor beveiligingsoplossingen. Wanneer de site snel populair wordt, nemen de focus en complexiteit van deze tests toe, wat er vaak toe leidt dat kwetsbaarheden worden ontdekt.
Een recent voorbeeld van dit fenomeen, zei Kron, was Zoom. Toen de COVID-19-pandemie ervoor zorgde dat al het werk op afstand moest werken, werden de voorheen onopgemerkte beveiligingsfouten van Zoom ontdekt, uitgebuit en vervolgens snel gepatcht. Maar met Parler, toen beveiligingsleveranciers hun voormalige klant begonnen te dumpen, maakte het Parler kwetsbaar op een moment dat ze ook een doelwit waren van aanvallers, hacktivisten en anderen, voegde Kron eraan toe.
Parler is nog lang niet dood. Tijdens het week-end, een of andere versie van Parler is teruggekomen op dezelfde webservers die andere randsites hosten die haatzaaien verwelkomen. Sinds dinsdagavond, de startpagina van de site is een technische problemen bestemmingspagina; oprichter van de site John Matze vertelde Fox News de website is van plan tegen het einde van de maand volledig functioneel te zijn (hoewel mobiele gebruikers waarschijnlijk vastzitten met de webversie in plaats van een app). En er zijn andere huizen voor extreemrechts online, hoewel, zoals Zolides opmerkte, op vrijspraak gerichte forums zoals Gab proactiever waren met inhoudsmoderatie dan Parler.
Er kunnen nog meer details naar voren komen over hoe @donk_enby precies toegang kreeg tot de gegevens van Parler en of de open-deurtheorie precies was wat er gebeurde. (En los van de cyberbeveiligingskwestie zijn ethische kwesties; inbreuk of hack, de gebruikersgegevens van Parler werden nog steeds gestolen, zoals Steinberg zei, en een overval is niets om te vieren.)
Ervan uitgaande dat Parler's gegevens door een slecht ontwerp zijn verzameld, is het online verhaal van 6 januari er een van herhaalde zelfbeschuldiging: ontmaskerde relschoppers die door het Capitool dwalen, vrolijk en openlijk hun verijdelde aanvullende plannen bespreken, belastend bewijs op internet plaatsend ondertussen naar een website die niet bereid was om dat bewijs anoniem of veilig te houden.
