Parler, Twitter soygunu Donald Trump fanatiği için ana organizasyon araçlarından biri olarak hizmet etti 6 Ocak'ta ABD Capitol'üne baskın yapan, büyük ölçüde çevrimdışı bir haftadan fazla. Ancak askıya alınmış animasyonda bile, QAnon, Proud Boys ve Amerikan aşırı sağının diğer unsurları için tercih edilen çevrimiçi ev hala sorun yaratıyor.
Amazon, Apple ve Google'ın siteyi barındırmayı bırakma ve mobil kullanıcıların uygulamayı indirmesini yasaklama kararları, Big Tech sansürünün çığlıklarını tetikledi. İlk Değişiklik ve internet yönetmeliği politikaları bir yana, Parler'ın kapıdan çıkarken veri fışkırtması, ciddi siber güvenlik sorularının yanı sıra internetteki diğer oyuncuların gelecekte veri ihlalleri olup olmayacağına dair endişeleri de beraberinde getiriyor.
Parler'ın başlığının altına bakmadan doğrulamak imkansız olsa da - web sitesi çevrimdışı olduğundan bu artık imkansız bir görevdir - hakim olan anlatı, bir Parler güvenlik açığının (veya kusurlarının) beyaz şapkalı bir bilgisayar korsanının Parler'ın tüm kullanıcı verilerini kısa sürede indirip arşivlemesine izin vermesidir. Amazon Web Services siteyi barındırma konusundaki fişi çekmeden önce. Kamunun (ve kolluk kuvvetlerinin) erişmesi için sunulan veriler arasında, bazı durumlarda potansiyel olarak suçlayıcı konum verileri yer alır.
konuş Worpress'e güveniyordu , dünyanın en çok kullanılan içerik yönetim sistemi. Bu, WordPress'in kusurun bir parçası olduğu ve WordPress kullanan herkesin tehlikede olduğu yönünde spekülasyonlara yol açtı. Ancak, siber güvenlik uzmanlarının genel bir fikir birliğine göre Bu makale için iletişime geçilen birkaç kişi de dahil olmak üzere, Parler'ın veri ihlali, Parler'ın WordPress kullanması nedeniyle gerçekleşmedi. Bunun yerine, Parler'ın kullanıcı verileri sızdırıldı çünkü CEO John Matze ve sitenin mimarları, Parler'ın ön ucu ile kullanıcı verileri arasındaki bağlantı olan Parler'ın API'sinde büyük kusurlar bıraktı.
Ayrıca bakınız: Elon Musk, Capitol Riot için Facebook ve Mark Zuckerberg'i Suçladı
Baskın inanç, Parler'ın sağ eğilimli yatırımcılar tarafından gerçekten sağlam bir temel inşa etmeden önce oldukça büyük hale gelen, teknolojik olarak konuşursak, aceleye getirilmiş, zayıf bir tasarım olduğudur. Andrew Zolides Xavier Üniversitesi'nde dijital tasarım dersleri veren bir iletişim profesörü Braganca'a verdiği demeçte. (Parler'ın yatırımcıları arasında sağcı milyarder Rebekah Mercer Parler'ın izleyicisini büyütmek için Twitter ve Facebook'taki sağcı öfkeden yararlanmaya çalışan.)
Zolides, herhangi bir web sitesinin gizlilikle ilgili endişeleri olsa da, Parler'ın çok büyük, çok hızlı olma ve buna gerçekten hazırlanma becerisine veya teknik bilgi birikimine sahip olmama sorunu gibi göründüğünü ekledi.
Genel olarak anonimlik veya güvenlikle ilgilenen herkes için hoş bir gelişme olarak, diğer web siteleri Parler tuzağından kaçınabilir… nispeten yeni ve Twitter ve Facebook gibi yerleşik devlerle rekabet etmeye çalışan küçük girişimler olmamaları koşuluyla, Parler tam olarak bunu yaptı .
Evet, Parler daha iyi tasarlanabilirdi, ancak gerçekçi konuşmak gerekirse, ürünlerine milyarlarca dolar yatırım yapmış olgun şirketlere karşı rekabet ettiğinizde ortaya çıkan sorun budur. dedi Joseph Steinberg , bir güvenlik uzmanı ve yazarı Aptallar için Siber Güvenlik . İstediğiniz her şeyi güvenli bir şekilde tasarlamakta zorlanacaksınız. 
Google, Apple ve Amazon, sosyal ağ uygulaması Parler'ı askıya aldı. Parler, bildirildiğine göre, medya tarafından bildirildiğine göre şiddeti teşvik eden kullanıcı gönderileri üzerinde yetersiz kontrol olduğu için App Store, Google Play ve Amazon Web Servislerinde kullanılamaz hale geldi.Getty Images aracılığıyla Pavlo Gonchar/SOPA Images/LightRocket tarafından Fotoğraf İllüstrasyon
İlk olarak, iddia edilen hack yöntemi. Parler, AWS'den çekilmeden önce, @donk_enby tanıtıcısına sahip bir Twitter kullanıcısı, web sitesinin kullanıcı verilerini nasıl indireceğini anladı - bunların tümü, Parler kullanıcılarının Capitol'ü ihlal ettiğine, memurlara saldırdığına ve daha fazla şiddet planladığına dair diğer genel kanıtlarla birlikte. , potansiyel olarak çok suçlayıcıydı, Gizmodo'nun bildirdiği gibi .
@donk_enby sonunda 56 terabayt değerinde veriyi yakaladı: çoğu, Parler kullanıcılarını güvenli alanlar da dahil olmak üzere 6 Ocak'ta Capitol'e ve çevresine olumlu bir şekilde yerleştiren bazı GPS meta verilerini içeren fotoğraflar, videolar ve metin gönderileri. Federal ifadelere göre bu verilerin en azından bir kısmı -56.000 gigabayt- isyan katılımcılarını belirlemek ve yakalamak için kullanıldı, ancak federallerin @donk_envy'nin veri dilimini kullandığına dair hiçbir kanıt yok.
Ama nasıl yapıldı? Erken spekülasyonlar, @donk_enby veya başka bir bilgisayar korsanının Parler yönetici kimlik bilgilerini çalmış olabileceğine dair vızıldadı ve bu yasadışı bir eylem olurdu. Kabul edilen teori şu şekildedir: Başlangıç rapor edildi ve birkaç güvenlik uzmanı, bunun yerine, web sitesinin verilerini arşivlemek ve bunu hızlı bir şekilde yapmak için Parler'ın kendi API'sinin buna karşı kullanıldığını belirtti.
Parler'ın tasarımcıları, kimlik doğrulama gerektirerek API'ye erişimi kısıtlamadı. Kullanıcıların arka uçtaki verilere erişmek için belirli kimlik bilgilerine ihtiyacı yoktu. Bu büyük bir arka kapıyı açık bıraktı.
Temel güvenlik protokolünün farkında olan çoğu web sitesi, isteğin kötü amaçlı olmadığından emin olmak için bir tür kullanıcı kimlik doğrulaması olmadan API'ye erişime izin vermez. The Startup'ın belirttiği gibi, iki yaygın kimlik doğrulama çözümü, her ikisi de web sitesinin verilere kimin eriştiğini bilmesini sağlayan bazı geçerli kimlik bilgileri gerektiren API anahtarları ve belirteçlerdir.
Hiçbir kimlik doğrulama gereksinimi bir kapıyı aralık bırakmadı. Bunun da ötesinde, Parler'ın tasarımcıları hız sınırlaması şeklinde ikinci bir savunma katmanı ekleme zahmetine girmediler - yani bir kapı aralık ya da çatlak bırakılmak yerine kapı ardına kadar açıktı.
Hız sınırlama, bir kullanıcının kimlik bilgilerine bakılmaksızın ne kadar veriye erişebileceğini sınırlar. Web kullanıcıları, vahşi ortamda 429 Çok Fazla İstek hata mesajı görmüş olabilir; bu, kapıdan çok fazla darbe veya geçme girişimi olduğunun bir işaretidir. Parler'da buna da sahip değildi; bu, güvenli olmayan arka uca erişildiğinde @donk_enby'nin de Parler'ın verilerini 48 saat içinde arşivleyebildiği anlamına geliyordu. (Tuhaf bir şekilde, The Startup'ın belirttiği gibi, Amazon Web Service, Parler'ın rahatsız etmediği temel bir güvenlik duvarı seçeneğine sahiptir.)
Son olarak, Parler, kullanıcılarının silindiğine inandığı gönderilerin hem kullanılabilir hem de biri arka uçta olduğunda kolayca keşfedilmesine izin verdi. Ölümcül ayaklanmaların ardından, bazı Parler kullanıcıları, web'de bulunan sayısız kanıtın farkında olarak, diğerlerini gönderilerini 6 Ocak'tan itibaren silmeye teşvik etti.
Parler'ın tüm gönderilerine 1 artan sıralı sayılar verildi. Bu gönderiler kullanıcı tarafından silinse bile arka uçta kaldılar. Görünüşe göre @donk_enby'nin her gönderiyi tek tek bulan ve arşivleyen çok basit bir komut dosyası yazması gerekiyordu. Parler, fotoğraflardan, videolardan ve gönderilerden coğrafi etiketli verileri yüklenmeden önce kaldırma zahmetine girmediğinden, bu bilgiler de orada arşivlenmeyi bekliyordu.
WordPress veya diğer barındırma yazılımlarını bir arada kullanan diğer web sitelerinin benzer güvenlik kusurlarına sahip olması mümkündür, ancak bu güvenlik kusurlarının kanunsuz bilgisayar korsanlarının ilgi alanına girmesine ve dolayısıyla ihlal edilmesine neden olacak kadar kötü şöhretli olmayabilirler.
Güvenlik uzmanı Erich Kron, web sitelerinin basit, genellikle otomatikleştirilmiş girişimlerden daha fazlasını çizmeye yetecek kadar popüler olmadıkları için fark edilmeyen, bazen önemli olan güvenlik açıklarına sahip olması nadir değildir, dedi. BilBe4 , önde gelen bir güvenlik çözümleri firması. Site hızla popüler hale geldiğinde, bu testlerin odağı ve karmaşıklığı artar ve genellikle güvenlik açıklarının keşfedilmesine yol açar.
Kron, bu fenomenin yakın tarihli bir örneğinin Zoom olduğunu söyledi. COVID-19 salgını tüm işleri uzaktan çalıştırdığında, Zoom'un daha önce tespit edilmemiş güvenlik açıkları keşfedildi, istismar edildi ve ardından hızla yamalandı. Ancak Parler ile, güvenlik sağlayıcıları eski istemcilerini terk etmeye başladığında, Parler'ı bir anda saldırganların, bilgisayar korsanlarının ve diğerlerinin de hedefi oldukları bir zamanda savunmasız bıraktı, diye ekledi Kron.
Parler henüz tam olarak ölmedi. Hafta sonu boyunca, Parler'ın bazı sürümleri geri döndü nefret söylemini memnuniyetle karşılayan diğer uç sitelere ev sahipliği yapan aynı web sunucularında. Salı akşamı itibariyle, sitenin ana sayfası bir teknik zorluklar açılış sayfası; site kurucusu John Matze Fox News'e anlattı web sitesi ay sonuna kadar tamamen işlevsel olmayı planlıyor (ancak mobil kullanıcılar muhtemelen bir uygulama yerine web tabanlı sürümü kullanmak zorunda kalacaklar). Ve çevrimiçi aşırı sağ için başka evler de var - ancak Zolides'in işaret ettiği gibi, Gab gibi serbest konuşma odaklı forumlar içerik denetleme konusunda Parler'den daha proaktif olmuştur.
@donk_enby'nin Parler'ın verilerine tam olarak nasıl eriştiği ve açık kapı teorisinin tam olarak ne olduğu konusunda daha fazla ayrıntı ortaya çıkabilir. (Ve siber güvenlik sorunundan ayrı durmak etik meselelerdir; ihlal veya hack, Steinberg'in dediği gibi Parler'ın kullanıcı verileri hala çalındı ve soygun kutlanacak bir şey değil.)
Parler'ın verilerinin kötü bir tasarımla yapıldığını varsayarsak, şimdilik, 6 Ocak'ın çevrimiçi hikayesi tekrarlanan kendi kendini suçlamalardan biridir: ABD Capitol'ünde dolaşan maskesiz isyancılar, başarısız ek planlarını neşeyle ve açıkça tartışıyorlar, internete suçlayıcı kanıtlar yayınlıyorlar. bu arada, bu kanıtları isimsiz veya güvenli tutmaya hazır olmayan bir web sitesine.
