Principal Inovaţie Parler a fost piratat pe WordPress, cea mai mare platformă de pe Internet. Toată lumea este în pericol?

Parler a fost piratat pe WordPress, cea mai mare platformă de pe Internet. Toată lumea este în pericol?

Ce Film Să Vezi?
 

Parler, Twitter-ul aruncă asta a servit ca unul dintre principalele instrumente de organizare pentru fanaticii lui Donald Trump care a asaltat Capitolul SUA pe 6 ianuarie, a fost în mare măsură offline mai mult de o săptămână. Dar chiar și în animația suspendată, casa online preferată pentru QAnon, Proud Boys și alte elemente ale extremei drepte americane creează încă probleme.

Deciziile Amazon, Apple și Google de a renunța la găzduirea site-ului și de a interzice utilizatorilor de dispozitive mobile să descarce aplicația au declanșat strigături de cenzură Big Tech. Primul amendament și politica de reglementare a internetului deoparte, felul în care Parler a dat naștere datelor la ușă ridică serioase întrebări legate de securitate cibernetică, precum și îngrijorări cu privire la faptul dacă alți jucători de pe internet au încălcări ale datelor în viitorul lor.

Deși este imposibil de verificat fără să aruncați o privire sub capota lui Parler - o sarcină acum imposibilă deoarece site-ul este offline - narațiunea predominantă este că un defect (sau defecte) de securitate Parler a permis unui hacker cu pălărie albă să descarce și să arhiveze toate datele utilizatorului Parler în scurt timp. înainte ca Amazon Web Services să scoată ștecherul de la găzduirea site-ului. Printre datele prezentate pentru accesul publicului (și al forțelor de ordine) au inclus, în unele cazuri, date despre locație potențial incriminatoare.

Vorbi s-a bazat pe Worpress , cel mai utilizat sistem de gestionare a conținutului din lume. Acest lucru a dus la speculații că WordPress a făcut parte din defect și că oricine altcineva care utilizează WordPress era în pericol. In orice caz, conform unui consens general al experților în securitate cibernetică , inclusiv mai mulți contactați pentru acest articol, încălcarea datelor Parler nu s-a întâmplat doar pentru că Parler a folosit WordPress. În schimb, datele utilizatorilor Parler s-au scurs deoarece CEO-ul John Matze și arhitecții site-ului au lăsat defecte majore în API-ul Parler, legătura dintre front-end-ul Parler și datele utilizatorilor săi.

Vezi si: Elon Musk dă vina pe Facebook și pe Mark Zuckerberg pentru Capitol Riot

Credința predominantă este că Parler a fost un design grăbit și slab susținut de investitorii înclinați spre dreapta pentru a deveni destul de mare înainte de a-și construi cu adevărat o bază solidă, tehnologic vorbind, Andrew Zolides , a declarat pentru Braganca un profesor de comunicare la Universitatea Xavier, care predă cursuri de design digital. (Printre investitorii Parler sunt miliardarul de dreapta Rebekah Mercer , care a încercat să valorifice furia de dreapta la Twitter și Facebook pentru a crește audiența lui Parler.)

În timp ce orice site web are probleme de confidențialitate, Parler pare a fi o problemă de a deveni prea mare, prea rapid și de a nu avea capacitatea sau cunoștințele tehnice de a se pregăti efectiv pentru asta, a adăugat Zolides.

Într-o dezvoltare binevenită pentru oricine este preocupat de anonimat sau securitate în general, alte site-uri web pot evita capcana Parler ... cu condiția să nu fie start-up-uri relativ noi și mici care încearcă să concureze cu giganți consacrați precum Twitter și Facebook, exact ceea ce a făcut Parler .

Da, Parler ar fi putut fi conceput mai bine, dar realist vorbind, acesta este genul de problemă care se întâmplă atunci când concurezi împotriva companiilor mature care au investit miliarde și miliarde de dolari în produsele lor, spuse Joseph Steinberg , expert în securitate și autor al Securitate cibernetică pentru manechini . Vă va fi greu să proiectați tot ceea ce doriți într-un mod sigur. Google, Apple și Amazon au suspendat aplicația de rețele sociale Parler. Parler a devenit indisponibil în App Store, Google Play și Amazon Web Services, despre care se spune că a declarat că nu există un control suficient asupra postărilor utilizatorilor care încurajează violența, potrivit informațiilor făcute de mass-media.Ilustrație foto de Pavlo Gonchar / SOPA Images / LightRocket prin Getty Images



În primul rând, metoda presupusului hack. Înainte ca Parler să fie extras de la AWS, un utilizator Twitter cu mâna @donk_enby a aflat cum să descarce datele utilizatorului site-ului web - toate acestea, împreună cu orice alte dovezi foarte publice ale utilizatorilor Parler care au încălcat Capitolul, au agresat ofițeri și au planificat violențe suplimentare , a fost potențial foarte incriminator, după cum a raportat Gizmodo .

@donk_enby a capturat în cele din urmă 56 de terabyte de date: fotografii, videoclipuri și postări text, dintre care multe au inclus câteva metadate GPS care au pus pozitiv utilizatorii Parler în și în jurul Capitoliei pe 6 ianuarie, inclusiv în zonele securizate. Cel puțin o parte din aceste date - 56.000 de gigaocteți - au fost folosite pentru a identifica și reține participanții la revoltă, conform declarațiilor avizate federale, dar nu există dovezi pozitive că federalii au utilizat tranșa de date a lui @ donk_envy.

Dar cum s-a făcut? Speculațiile timpurii au arătat că @donk_enby sau un alt hacker ar fi putut fura acreditările de administrator Parler, ceea ce ar fi un act ilegal. Teoria acceptată este că, așa cum Startup-ul raportat și mai mulți experți în securitate au subliniat, în schimb, propriul API Parler a fost folosit împotriva acestuia pentru a arhiva datele site-ului web și pentru a face acest lucru rapid.

Designerii lui Parler nu au restricționat accesul la API prin necesitatea autentificării. Utilizatorii nu aveau nevoie de acreditări specifice pentru a accesa datele din partea din spate. Asta a lăsat o enormă ușă din spate deschisă.

Majoritatea site-urilor care conștientizează protocolul de securitate de bază nu permit accesul la API fără o formă de autentificare a utilizatorului pentru a se asigura că solicitarea nu este rău intenționată. După cum a arătat The Startup, două soluții de autentificare obișnuite sunt cheile API și jetoanele, ambele necesită câteva acreditări valide care permit, de asemenea, site-ului web să știe cine accesează datele.

Nicio cerință de autentificare nu a lăsat ușa întredeschisă. Mai mult decât atât, designerii lui Parler nu s-au deranjat să adauge un al doilea strat de apărare în ceea ce privește limitarea ratei - adică în loc de ușă întredeschisă sau lăsată crăpată, ușa era larg deschisă.

Limita de rată limitează cantitatea de date pe care o poate accesa un utilizator indiferent de acreditări. Este posibil ca utilizatorii web să fi văzut 429 Prea mulți Solicită mesaje de eroare în sălbăticie, ceea ce este un semn că au existat prea multe lovituri sau încercări de a trece prin ușă. Nici Parler nu avea acest lucru, ceea ce însemna că odată ce a fost accesat backend-ul nesecurizat, @donk_enby a putut, de asemenea, să arhiveze datele Parler în 48 de ore. (În mod ciudat, așa cum a subliniat The Startup, Amazon Web Service are o opțiune de firewall de bază cu care Parler nu părea să se deranjeze.)

În cele din urmă, Parler a permis, de asemenea, ca postările pe care utilizatorii săi le credeau șterse să fie disponibile și ușor de descoperit odată ce cineva se afla în partea din spate. În urma revoltelor mortale, unii utilizatori Parler, conștienți de șirurile de dovezi disponibile pe web, i-au încurajat pe alții să-și șteargă postările din 6 ianuarie.

Toate postările lui Parler au primit numere secvențiale care au crescut cu 1. Chiar și atunci când aceste postări au fost șterse de utilizator, acestea au rămas în partea din spate. Se pare că @donk_enby trebuia să scrie doar un script foarte de bază care găsea și arhiva fiecare postare, una câte una. Și din moment ce Parler nu s-a deranjat să elimine datele geo-etichetate din fotografii, videoclipuri și postări înainte de a fi încărcate, informațiile stăteau acolo și așteaptă să fie arhivate.

Este posibil ca alte site-uri web care utilizează WordPress sau alte programe de găzduire să aibă defecte de securitate similare, dar, de asemenea, s-ar putea să nu fie suficient de infame pentru ca aceste defecte de securitate să devină interesul hackerilor vigilenți și astfel să fie încălcate.

Nu este neobișnuit ca site-urile web să aibă defecte de securitate, uneori semnificative, care trec neobservate deoarece nu sunt suficient de populare pentru a desena mai mult decât încercări simple, adesea automatizate, de a le compromite, a spus Erich Kron, expert în securitate cu KnowBe4 , o firmă proeminentă de soluții de securitate. Când site-ul devine popular rapid, accentul și complexitatea acestor teste cresc, ducând deseori la descoperirea vulnerabilităților.

Un exemplu recent al acestui fenomen, a spus Kron, a fost Zoom. Când pandemia COVID-19 a făcut ca toate să funcționeze la distanță, defectele de securitate nedetectate anterior ale Zoom-ului au fost descoperite, exploatate și apoi repare rapid. Dar cu Parler, când vânzătorii de securitate au început să renunțe la clientul lor de odinioară, l-a lăsat pe Parler vulnerabil într-un moment în care erau și ținta atacatorilor, hacktivistilor și altor persoane, a adăugat Kron.

Parler nu a murit încă. În weekend, a revenit o versiune a lui Parler pe aceleași servere web care găzduiesc alte site-uri fringe care primesc discurs de ură Începând de marți seara, pagina de pornire a site-ului este o pagina de destinație a dificultăților tehnice; fondatorul site-ului John Matze a spus Fox News site-ul web intenționează să fie pe deplin funcțional până la sfârșitul lunii (deși utilizatorii de telefonie mobilă vor fi probabil blocați folosind versiunea bazată pe web în locul unei aplicații). Și există și alte case pentru extrema dreaptă online - deși, așa cum a subliniat Zolides, forumurile axate pe exprimarea liberă, precum Gab, au fost mai proactive cu moderare a conținutului decât Parler.

S-ar putea să apară încă mai multe detalii despre modul în care @donk_enby a accesat datele lui Parler și dacă teoria ușii deschise a fost exact ceea ce s-a întâmplat. (Și separat de întrebarea privind securitatea cibernetică sunt probleme de etică; încălcarea sau piratarea, datele utilizatorului Parler au fost încă furate, așa cum a spus Steinberg, iar o furt nu este nimic de sărbătorit.)

Presupunând că datele lui Parler au fost făcute într-un mod nepotrivit, deocamdată, povestea online din 6 ianuarie este una de autoincriminare repetată: răzvrătiți fără mască care rătăcesc în Capitolul SUA, discutând cu bucurie și în mod deschis planurile lor false, postând dovezi incriminatoare pe internet în timp, către un site web care nu a fost pregătit să păstreze aceste dovezi anonime sau sigure.

Articole Care S -Ar Putea Să Vă Placă :