Prinċipali Innovazzjoni Parler Kien Hacked fuq WordPress, L-Ikbar Pjattaforma tal-Internet. Kulħadd Huwa f'Riskju?

Parler Kien Hacked fuq WordPress, L-Ikbar Pjattaforma tal-Internet. Kulħadd Huwa f'Riskju?

Parler, il-qtugħ ta 'Twitter dak serva bħala waħda mill-għodod ewlenin ta ’organizzazzjoni għall-fanatiċi ta’ Donald Trump li daħal fil-Kapitolu ta ’l-Istati Uniti fis-6 ta’ Jannar, kien fil-biċċa l-kbira offline għal aktar minn ġimgħa. Iżda anke f'animazzjoni sospiża, id-dar online preferuta għal QAnon, il-Proud Boys, u elementi oħra tal-lemin estrem Amerikan għadha toħloq inkwiet.

Deċiżjonijiet minn Amazon, Apple, u Google biex jieqfu jospitaw is-sit u jipprojbixxu lill-utenti tal-mowbajl milli jniżżlu l-app qajmu għajjat ​​ta ’ċensura tal-Big Tech. L-Ewwel Emenda u l-politika tar-regolamentazzjoni tal-internet imwarrba, il-mod kif Parler ħarġet id-dejta waqt il-bieb iqajjem mistoqsijiet serji dwar iċ-ċibersigurtà kif ukoll inkwiet dwar jekk atturi oħra fuq l-internet għandhomx ksur tad-dejta fil-futur tagħhom.

Għalkemm huwa impossibbli li tivverifika mingħajr ma tidher taħt il-barnuża ta 'Parler — kompitu issa impossibbli peress li l-websajt hija offline — in-narrattiva prevalenti hija li difett ta' sigurtà Parler (jew difetti) ippermetta lil white-hat hacker li jniżżel u jarkivja d-dejta kollha tal-utent ta 'Parler dalwaqt qabel ma l-Amazon Web Services ġibdu l-plagg meta jospitaw is-sit. Fost id-dejta ppreżentata għall-aċċess tal-pubbliku (u tal-infurzar tal-liġi) inkludiet, f'xi każijiet, dejta dwar il-lok potenzjalment inkriminanti.

Tkellem strieħ fuq Worpress , is-sistema tal-immaniġġjar tal-kontenut l-iktar użata fid-dinja. Dan wassal għal spekulazzjoni li WordPress kien parti mid-difett u li kull min juża WordPress kien fil-periklu. Madankollu, skond kunsens ġenerali ta 'esperti taċ-ċibersigurtà , inklużi bosta kkuntattjati għal dan l-artikolu, il-ksur tad-dejta ta 'Parler ma seħħx sempliċement minħabba li Parler uża WordPress. Minflok, id-dejta tal-utent ta 'Parler nixxew minħabba li l-Kap Eżekuttiv John Matze u l-periti tas-sit ħallew difetti kbar fl-API ta' Parler, ir-rabta bejn il-front-end ta 'Parler u d-dejta tal-utent tagħha.

Ara ukoll: Elon Musk iwaħħal fuq Facebook u Mark Zuckerberg Għal Capitol Riot

It-twemmin predominanti huwa li Parler kien disinn mgħaġġel u fqir imsaħħaħ minn investituri li jxaqilbu lejn il-lemin biex isiru pjuttost kbar qabel ma verament bnew pedament sod, teknoloġikament, Andrew Zolides , professur tal-komunikazzjonijiet fl-Università Xavier li jgħallem korsijiet fid-disinn diġitali qal lil Braganca. (Fost l-investituri ta ’Parler huma l-biljunarju tal-lemin Rebekah Mercer , li ppruvaw jikkapitalizzaw fuq rabja tal-lemin fuq Twitter u Facebook biex ikabbru l-udjenza ta 'Parler.)

Filwaqt li kwalunkwe websajt għandha t-tħassib tagħha dwar il-privatezza, Parler tidher qisha kwistjoni li ssir kbira wisq, mgħaġġla wisq u li ma jkollhiex il-ħila jew l-għarfien tekniku biex tipprepara għal dak il-fatt, żied Zolides.

Fi żvilupp milqugħ għal kull min hu kkonċernat dwar l-anonimità jew is-sigurtà b'mod ġenerali, websajts oħra jistgħu jevitaw in-nasba ta 'Parler ... sakemm ma jkunux relattivament ġodda u startups żgħar li jippruvaw jikkompetu ma' ġganti stabbiliti bħal Twitter u Facebook, li huwa eżattament dak li għamel Parler. .

Iva, Parler seta 'ġie ddisinjat aħjar, imma b'mod realistiku, din hija t-tip ta' problema li tiġri meta tkun qed tikkompeti kontra kumpaniji maturi li investew biljuni u biljuni ta 'dollari fil-prodotti tagħhom, qal Joseph Steinberg , espert tas - sigurtà u awtur ta ' Ċibersigurtà għal Manikini . Int ser ikollok diffikultà biex tfassal dak kollu li trid b'mod sigur. Google, Apple u Amazon issospendew l-app tan-netwerking soċjali Parler. Parler ma kienx disponibbli fl-App Store, il-Google Play u l-Amazon Web Services, kif allegatament qal li ma kienx hemm kontroll biżżejjed fuq il-postijiet tal-utenti li ħeġġew il-vjolenza, allegatament mill-midja.Ritratt Illustrazzjoni minn Pavlo Gonchar / SOPA Images / LightRocket permezz ta 'Getty Images



L-ewwel, il-metodu għall-allegat hack. Qabel ma Parler ingħata mill-AWS, utent ta 'Twitter bil-manku @donk_enby sab kif jista' jniżżel id-dejta tal-utent tal-websajt - li kollha, flimkien ma 'kwalunkwe evidenza oħra pubblika ħafna ta' utenti ta 'Parler li jiksru l-Capitol, jattakkaw uffiċjali, u jippjanaw aktar vjolenza. , kien potenzjalment inkriminanti ħafna, kif irrappurtat Gizmodo .

@donk_enby eventwalment qabad 56 terabytes ta 'dejta: ritratti, vidjows u postijiet ta' test, li ħafna minnhom kienu jinkludu xi metadata tal-GPS li pożittivament poġġew lill-utenti ta 'Parler fi u madwar il-Capitol fis-6 ta' Jannar, inkluż f'żoni protetti. Mill-inqas ftit minn din id-dejta - 56,000 gigabyte - intużat biex tidentifika u taqbad il-parteċipanti fl-irvellijiet, skont affidavits federali, iżda m'hemm l-ebda prova pożittiva li l-federati użaw il-porzjon tad-dejta ta '@ donk_envy.

Imma kif sar? L-ispekulazzjoni bikrija buzzed li @donk_enby jew hacker ieħor seta 'seraq il-kredenzjali ta' amministratur ta 'Parler, li jkun att illegali. It-teorija aċċettata hija li, kif L-Istartjar irrappurtat u diversi esperti tas-sigurtà spjegaw, minflok, l-API ta ’Parler stess intużat kontriha biex tarkivja d-dejta tal-websajt - u biex tagħmel dan malajr.

Id-disinjaturi ta 'Parler ma rrestrinġewx l-aċċess għall-API billi jeħtieġu awtentikazzjoni. L-utenti ma kellhomx bżonn kredenzjali speċifiċi biex jaċċessaw id-dejta fuq wara. Dan ħalla bieb ta 'wara enormi miftuħ.

Ħafna websajts konxji mill-protokoll bażiku tas-sigurtà ma jippermettux aċċess għall-API mingħajr xi forma ta ’awtentikazzjoni tal-utent biex jiġi żgurat li t-talba ma tkunx malizzjuża. Kif irrimarka The Startup, żewġ soluzzjonijiet ta ’awtentikazzjoni komuni huma ċwievet API u tokens, it-tnejn li huma jeħtieġu xi kredenzjali validi li jippermettu wkoll lill-websajt tkun taf min qed jaċċessa d-dejta.

L-ebda rekwiżit ta ’awtentikazzjoni ma ħalla bieb miftuħ. Barra minn hekk, id-disinjaturi ta ’Parler ma ddejqux iżidu t-tieni saff ta’ difiża fil-mod li jillimitaw ir-rata - jiġifieri minflok bieb miftuħ jew xellug maqsum, il-bieb kien miftuħ sew.

Limiti tar-rata li jillimitaw kemm id-dejta tista 'taċċessa utent irrispettivament mill-kredenzjali. L-utenti tal-web setgħu raw 429 Wisq Talba ta 'messaġġi ta' żball fl-ambjent naturali, li huwa sinjal li kien hemm wisq daqqiet jew tentattivi biex jgħaddu mill-bieb. Parler lanqas ma kellu dan, li kien ifisser li ladarba l-back end mhux garantit ġie aċċessat, @donk_enby kien kapaċi wkoll jarkivja d-dejta ta 'Parler fi żmien 48 siegħa. (Jusqu'à présent, kif irrimarka The Startup, Amazon Web Service għandu għażla bażika ta 'firewall li Parler ma deherx li jolqot biha.)

Fl-aħħarnett, Parler ippermetta wkoll il-postijiet li l-utenti tiegħu jemmnu li tħassru biex ikunu t-tnejn disponibbli u skoperti faċilment ladarba xi ħadd kien fit-tarf ta 'wara. Wara l-irvellijiet fatali, uħud mill-utenti ta 'Parler, konxji tar-reams ta' evidenza disponibbli fuq il-web, ħeġġew lil oħrajn biex iħassru l-karigi tagħhom mis-6 ta 'Jannar.

Il-karigi kollha ta ’Parler ingħataw numri sekwenzjali li żdiedu b’1. Anke meta dawk il-karigi tħassru mill-utent, huma baqgħu fuq wara. @donk_enby apparentement kellu bżonn jikteb biss skript bażiku ħafna li sab u arkivja kull kariga, waħda waħda. U peress li Parler ma ddejjaqx ineħħi dejta ġeotagjata minn ritratti u vidjows u postijiet qabel ma ttellgħu, dik l-informazzjoni kienet qiegħda hemmhekk ukoll tistenna li tiġi arkivjata.

Huwa possibbli li websajts oħra li jużaw WordPress jew softwer ieħor ta 'akkoljenza għal kollox jista' jkollhom difetti ta 'sigurtà simili, iżda jistgħu wkoll ma jkunux infami biżżejjed biex dawk id-difetti ta' sigurtà jsiru l-interess ta 'hackers viġilanti u b'hekk jinkisru.

Mhux komuni li l-websajts ikollhom difetti fis-sigurtà, xi drabi sinifikanti, li ma jiġux innutati għax mhumiex popolari biżżejjed biex jiġbdu aktar minn tentattivi sempliċi, spiss awtomatizzati, biex jikkompromettuhom, qal Erich Kron, espert tas-sigurtà KnowBe4 , ditta prominenti ta 'soluzzjonijiet ta' sigurtà. Meta s-sit isir popolari malajr, il-fokus u l-kumplessità ta 'dawn it-testijiet jiżdiedu, ħafna drabi jwasslu biex jiġu skoperti vulnerabbiltajiet.

Eżempju reċenti ta 'dan il-fenomenu, qal Kron, kien Zoom. Meta l-pandemija COVID-19 għamlet ix-xogħol kollu mill-bogħod, id-difetti tas-sigurtà li qabel ma nstabux ta ’Zoom ġew skoperti, sfruttati, u mbagħad malajr irqajjew. Iżda ma 'Parler, meta l-bejjiegħa tas-sigurtà bdew jitilqu l-klijent ta' qabel tagħhom, ħalla lil Parler vulnerabbli fi żmien li kienu wkoll fil-mira ta 'attakkanti, hacktivisti u oħrajn, żied Kron.

Parler għadu mhux mejjet. Matul il-weekend, lura xi verżjoni ta 'Parler fuq l-istess web servers li jospitaw siti marġinali oħra li jilqgħu diskors ta ’mibegħda. Mit-Tlieta filgħaxija, il-paġna ewlenija tas-sit hija landing page ta 'diffikultajiet tekniċi; fundatur tas-sit John Matze qal lil Fox News il-websajt tippjana li tkun kompletament funzjonali sal-aħħar tax-xahar (għalkemm l-utenti tal-mowbajl x'aktarx ikunu mwaħħla bl-użu tal-verżjoni bbażata fuq il-web minflok app). U hemm djar oħra għal-lemin estrem online - għalkemm, kif irrimarka Zolides, fora ffokati fuq il-kelma ħielsa bħal Gab kienu aktar proattivi b'moderazzjoni tal-kontenut minn Parler.

Aktar dettalji jistgħu għadhom joħorġu dwar eżattament kif @donk_enby aċċessa d-dejta ta 'Parler u jekk it-teorija tal-bieb miftuħ kinitx eżattament dak li ġara. (U wieqfa separati mill-kwistjoni taċ-ċibersigurtà huma kwistjonijiet ta 'etika; ksur jew hack, id-dejta tal-utent ta' Parler kienet għadha misruqa, kif qal Steinberg, u heist mhu xejn li jiċċelebra.)

Jekk wieħed jassumi li d-dejta ta 'Parler saret b'disinn ħażin, għalissa, l-istorja onlajn tas-6 ta' Jannar hija waħda ta 'awtoinkriminazzjoni ripetuta: rewwixti bla maskra li jiġġerrew il-Kaptolju tal-Istati Uniti, jiddiskutu bil-ferħ u bil-miftuħ il-pjanijiet addizzjonali mxekkla tagħhom, jibgħatu evidenza inkriminanti fuq l-internet kollha. fil-waqt, għal websajt li ma kinitx ippreparata biex iżżomm dik l-evidenza anonima jew sigura.



Artikli Interessanti