Parler, Twitter je to odtrgal služil kot eno glavnih organizacijskih orodij za fanatike Donalda Trumpa ki je 6. januarja napadel ameriški Kapitol, je bil večinoma brez povezave več kot en teden. Toda tudi v suspendirani animaciji najprimernejši spletni dom QAnona, Ponosnih fantov in drugih elementov ameriške skrajne desnice še vedno ustvarja težave.
Odločitve Amazon, Apple in Google, da prenehajo gostovati na spletnem mestu in mobilnim uporabnikom prepovedo prenos aplikacije, so sprožile krik cenzure Big Tech. Prvi amandma in politika regulacije interneta na stran, način, kako je Parler prinesel podatke na izhodu, sproža resna vprašanja na področju kibernetske varnosti in skrbi, ali bodo drugi akterji na internetu v prihodnosti kršili podatke.
Čeprav je nemogoče preveriti, ne da bi pokukali pod pokrov Parlerja - naloga, ki je zdaj nemogoča, saj je spletno mesto brez povezave -, prevladuje pripoved, da je Parlerjeva varnostna napaka (ali pomanjkljivosti) dovolila hekerju, da v kratkem prenese in arhivira vse uporabniške podatke Parlerja preden so spletne storitve Amazon izvlekle gostiteljico spletnega mesta. Med podatke, ki so bili javnosti predstavljeni (in organom pregona) za dostop, so bili v nekaterih primerih potencialno obremenilni podatki o lokaciji.
Govoriti se zanašal na Worpress , najbolj uporabljen sistem za upravljanje vsebin na svetu. To je privedlo do ugibanj, da je bil WordPress del napake in da je bil kdo drug, ki uporablja WordPress, v nevarnosti. Vendar v skladu s splošnim konsenzom strokovnjakov za kibernetsko varnost , vključno z več kontaktiranimi za ta članek, se Parlerjeva kršitev podatkov ni zgodila zgolj zato, ker je Parler uporabljal WordPress. Namesto tega so prišli do podatkov o uporabnikih Parlerja, ker so predsednik uprave John Matze in arhitekti spletnega mesta pustili velike napake v Parlerjevem API-ju, povezavi med prednjim delom Parlerja in njegovimi uporabniškimi podatki.
Poglej tudi: Elon Musk za Capitol Riot krivi Facebook in Mark Zuckerberg
Prevladujoče prepričanje je, da je bil Parler hiter, slab dizajn, ki so ga spodbujali desno usmerjeni vlagatelji, da bi postal precej velik, še preden so v resnici zgradili trdno podlago, tehnološko gledano, Andrew Zolides , profesor komunikologije na univerzi Xavier, ki predava digitalno oblikovanje, je za Braganca povedal. (Med Parlerjevimi vlagatelji so desničarska milijarderka Rebekah Mercer , ki so poskušali izkoristiti desničarsko jezo na Twitterju in Facebooku, da bi povečali Parlerjevo občinstvo.)
Čeprav ima katero koli spletno mesto pomisleke glede zasebnosti, se zdi, da je Parler problem, da postane prevelik, prehiter in nima sposobnosti ali tehničnega znanja, da bi se na to dejansko pripravil, je dodal Zolides.
Kot dobrodošel razvoj za vse, ki jih skrbi anonimnost ali varnost na splošno, se lahko druga spletna mesta izognejo Parlerjevi pasti ... pod pogojem, da niso razmeroma nova in majhna zagonska podjetja, ki se trudijo konkurirati uveljavljenim velikanoma, kot sta Twitter in Facebook, kar je Parler tudi storil .
Da, Parler bi lahko bili bolje zasnovani, toda realno gledano je to vrsta težav, ki se zgodi, ko tekmujete z zrelimi podjetji, ki so v svoje izdelke vložila milijarde in milijarde dolarjev, je rekel Joseph Steinberg , strokovnjak za varnost in avtor Kibernetska varnost za telebane . Težko boste varno oblikovali vse, kar želite. 
Google, Apple in Amazon so ukinili aplikacijo za družabna omrežja Parler. Parler ni bil na voljo v App Store, Google Play in Amazon Web Services, po poročanju medijev pa nezadosten nadzor nad objavami uporabnikov, ki spodbujajo nasilje.Foto ilustracijo Pavlo Gonchar / SOPA Images / LightRocket prek Getty Images
Prvič, metoda za domnevni kramp. Preden je bil Parler izvlečen iz AWS, je uporabnik Twitterja z ročico @donk_enby ugotovil, kako prenesti uporabniške podatke spletnega mesta - vse skupaj z vsemi drugimi zelo javnimi dokazi, da uporabniki Parlerja kršijo Kapitol, napadajo policiste in načrtujejo nadaljnje nasilje. , je bilo potencialno zelo obremenilno, kot je poročal Gizmodo .
@donk_enby je sčasoma zbral 56 terabajtov podatkov: fotografij, videoposnetkov in besedilnih sporočil, med katerimi je bilo veliko metapodatkov GPS, ki so 6. januarja pozitivno postavili uporabnike Parlerja v in okoli Kapitola, tudi na zavarovanih območjih. Vsaj nekateri od teh podatkov - 56.000 gigabajtov - so bili uporabljeni za identifikacijo in prijemanje udeležencev nemirov v skladu z zveznimi izjavami, ni pa nobenega pozitivnega dokaza, da so federalci uporabili tranšo podatkov @ donk_envy.
Kako pa je bilo to storjeno? V zgodnjih špekulacijah se je začelo špekulirati, da je @donk_enby ali drug heker morda ukradel skrbniške poverilnice Parlerja, kar bi bilo nezakonito dejanje. Sprejeta teorija je, da kot Zagon poročali in več varnostnih strokovnjakov je poudarilo, da je bil Parlerjev lastni API uporabljen proti njemu za arhiviranje podatkov spletnega mesta - in to hitro.
Oblikovalci Parlerja niso omejili dostopa do API-ja z zahtevo za preverjanje pristnosti. Uporabniki za dostop do podatkov na zadnji strani niso potrebovali posebnih poverilnic. Tako so ostala odprta ogromna zadnja vrata.
Večina spletnih mest, ki se zavedajo osnovnega varnostnega protokola, ne dovoli dostopa do API-ja brez neke oblike preverjanja pristnosti uporabnika, da se zagotovi, da zahteva ni zlonamerna. Kot je poudaril The Startup, sta dve pogosti rešitvi za preverjanje pristnosti ključi in žetoni API, ki zahtevata nekaj veljavnih poverilnic, ki tudi spletnemu mestu omogočajo vedeti, kdo dostopa do podatkov.
Nobena zahteva za preverjanje pristnosti ni pustila odprtih vrat. Poleg tega se Parlerjevi oblikovalci niso potrudili, da bi dodali še drugo obrambno plast na način omejevanja hitrosti - kar pomeni, da so bila vrata namesto odprtih ali razpokanih vrat na stežaj odprta.
Omejevanje hitrosti omejuje, koliko podatkov lahko uporabnik dostopa ne glede na poverilnice. Spletni uporabniki so morda v naravi videli 429 sporočil o napaki preveč zahtev, kar je znak, da je bilo preveč udarcev ali poskusov skozi vrata. Tudi Parler tega ni imel, kar je pomenilo, da je lahko po dostopu do nezaščitenega hrbtnega dela v 48 urah tudi Parlerjeve podatke arhiviral @donk_enby. (Nenavadno je, kot je poudaril The Startup, Amazon Web Service ima osnovno možnost požarnega zidu, s katero se Parler ni zdel obremenjen.)
Končno je Parler dovolil, da so bile objave, za katere so uporabniki menili, da so bile izbrisane, na voljo in jih je bilo mogoče zlahka odkriti, ko je bil nekdo v zadnjem delu. Po smrtonosnih izgredih so nekateri uporabniki Parlerja, ki so vedeli za množico dokazov, ki so na voljo v spletu, druge spodbujali, naj od 6. januarja izbrišejo svoje objave.
Vse objave Parlerja so dobile zaporedne številke, ki so se povečale za 1. Tudi ko jih je uporabnik izbrisal, so ostale na zadnji strani. Očitno je @donk_enby moral napisati le zelo osnovni skript, ki je eno za drugo našel in arhiviral vsako objavo. In ker se Parler ni trudil z odstranjevanjem geografsko označenih podatkov s fotografij in videoposnetkov ter objav, preden so bili naloženi, so tam sedeli tudi ti podatki, ki so čakali na arhiviranje.
Možno je, da imajo druga spletna mesta, ki skupaj uporabljajo WordPress ali drugo programsko opremo za gostovanje, podobne varnostne pomanjkljivosti, vendar morda tudi ne bodo dovolj razvpita, da bi te varnostne pomanjkljivosti postale interes vigilante hekerjev in s tem kršene.
Ni redko, da imajo spletna mesta varnostne pomanjkljivosti, včasih pomembne, ki ostanejo neopažene, ker niso dovolj priljubljene, da bi lahko naredile več kot preproste, pogosto avtomatizirane poskuse, da bi jih ogrozili, je dejal Erich Kron, strokovnjak za varnost pri KnowBe4 , ugledno podjetje za varnostne rešitve. Ko spletno mesto hitro postane priljubljeno, se osredotočenost in kompleksnost teh testov povečata, kar pogosto privede do odkrivanja ranljivosti.
Kron je dejal, da je nedavni primer tega pojava Zoom. Ko je pandemija COVID-19 delala na daljavo, so bile odkrite, izkoriščene in nato hitro zakrpane Zoomove predhodno neodkrite varnostne napake. Toda s Parlerjem, ko so prodajalci varnosti začeli odpovedovati svojemu nekdanjemu odjemalcu, je bil Parler ranljiv v času, ko so bili tudi tarča napadalcev, hektivistov in drugih, je dodal Kron.
Parler še ni mrtev. Čez vikend, vrnila se je neka različica Parlerja na istih spletnih strežnikih, ki gostijo druga obrobna spletna mesta, ki pozdravljajo sovražni govor. Od torka zvečer, domača stran spletnega mesta je tehnične težave ciljna stran; ustanovitelj spletnega mesta John Matze je povedal Fox News spletno mesto načrtuje, da bo popolnoma funkcionalno do konca meseca (čeprav bodo uporabniki mobilnih naprav verjetno zataknili uporabo spletne različice namesto aplikacije). In obstajajo tudi drugi domovi za skrajno desne na spletu - čeprav so, kot je poudaril Zolides, forumi, usmerjeni v svobodo govora, kot je Gab, bolj modro aktivni z moderiranjem vsebine kot Parler.
Morda se bo še pojavilo več podrobnosti o tem, kako natančno je @donk_enby dostopal do podatkov Parlerja in ali se je teorija odprtih vrat zgodila točno. (In ločeno od vprašanja kibernetske varnosti so etična vprašanja; kršitev ali kramp, Parlerjevi podatki o uporabnikih so bili še vedno ukradeni, kot je dejal Steinberg, in plena ni nič za slaviti.)
Ob predpostavki, da so bili Parlerjevi podatki narejeni po slabi zasnovi, je spletna zgodba 6. januarja za zdaj večkratna samoobtožba: nemaskirani izgredniki, ki tavajo po ameriškem Kapitolu, veselo in odkrito razpravljajo o svojih spodletelih dodatnih načrtih in na internetu objavljajo obremenilne dokaze medtem pa na spletno mesto, ki ni bilo pripravljeno, da bi te dokaze ohranilo anonimne ali varne.
