Парлер, Twitter-ді бұзу Дональд Трамптың фанатиктерін ұйымдастырудың негізгі құралдарының бірі болды 6 қаңтарда АҚШ Капитолийіне шабуыл жасаған, болды негізінен желіден тыс бір аптадан астам уақыт. Тіпті уақытша тоқтатылған анимацияда QAnon, Proud Boys және американдық экстремалды оңшылдардың басқа элементтері үшін қолайлы үй әлі күнге дейін қиындық тудыруда.
Amazon, Apple және Google сайттарының хостингтен бас тартуы және мобильді пайдаланушыларға қосымшаны жүктеуге тыйым салуы туралы шешімдері Big Tech цензурасының айқайларын тудырды. Бірінші түзету мен Интернетті реттеу саясаты, Парлердің есіктен шығатын кездегі мәліметтерді тыңдау тәсілі киберқауіпсіздікке қатысты маңызды мәселелерді тудырады, сонымен қатар Интернеттегі басқа ойыншылардың болашақта деректердің бұзылу-бұзылмауы туралы алаңдаушылық туғызады.
Парлердің қақпағының астына қарамай-ақ тексеру мүмкін емес - веб-сайт оффлайн режимінде болғандықтан, бұл қазір мүмкін емес міндет - басты баяндау - Parler-тің қауіпсіздік ақаулығы (немесе кемшіліктері) ақ қалпақшының хакерге Parler-дің барлық пайдаланушы деректерін жүктеуге және мұрағаттауға мүмкіндік берді. бұрын Amazon Web Services сайтты орналастыру үшін ашаны тартып алған. Жұртшылыққа (және құқық қорғау органдарына) қол жетімді болу үшін ұсынылған деректердің арасында кей жерлерде ықтимал айыптау орындары туралы мәліметтер де бар.
Сөйлеу Worpress-ке сүйенді , әлемдегі ең көп қолданылатын мазмұнды басқару жүйесі. Бұл WordPress-тің кемшіліктері болды және WordPress-ті қолданатын кез-келген адамға қауіп төнді деген пікірлерге әкелді. Алайда, киберқауіпсіздік саласындағы сарапшылардың жалпы консенсусына сәйкес , соның ішінде осы мақалаға хабарласқан бірнеше адам, Parler деректерін бұзу жай ғана Parler WordPress-ті қолданғандықтан болған жоқ. Оның орнына Parler-дің пайдаланушы деректері тарады, өйткені CEO Джон Матце және сайттың сәулетшілері Parler's API-де үлкен кемшіліктер қалдырды, бұл Parler-дің алдыңғы жағы мен оның пайдаланушы деректері арасындағы байланыс.
Сондай-ақ қараңыз: Илон Маск Facebook пен Mark Zuckerberg-ті Capitol Riot үшін айыптайды
Парлер оң жақ инвесторлардың технологиялық тұрғыдан берік іргетас құрғанға дейін өте үлкен болуға итермелеген асығыс, нашар дизайны болды деген сенім басым. Эндрю Золидс , Braganca-ге сандық дизайн бойынша курстардан сабақ беретін Ксавье университетінің байланыс профессоры. (Parler’s инвесторлары арасында оңшыл миллиардер Ребека Мерсер , Парлердің аудиториясын өсіру үшін Твиттерде және Фейсбукте оң жақ ашуды пайдалануға тырысты.)
Кез-келген веб-сайттың құпиялылық мәселесі болса да, Парлер өте үлкен, өте жылдам және оған дайын болу мүмкіндігі мен техникалық ноу-хауының болмауы сияқты көрінеді, деп қосты Золидс.
Анонимдікке немесе жалпы қауіпсіздікке алаңдайтын кез-келген адам үшін жағымды жағдай, басқа веб-сайттар Parler тұзағынан аулақ бола алады ... егер олар салыстырмалы түрде жаңа және шағын стартаптар болмаса, Twitter және Facebook сияқты алыптармен бәсекелесуге тырысады, бұл Parler дәл осылай жасады. .
Ия, Parler-ді жақсы ойластырған болар еді, бірақ шындыққа сай, бұл өз өнімдеріне миллиардтаған және миллиардтаған доллар салған жетілген компаниялармен бәсекелес болған кезде туындайтын проблема, - деді Джозеф Стейнберг , қауіпсіздік сарапшысы және авторы Думмилерге арналған киберқауіпсіздік . Сізге қалағанның барлығын қауіпсіз түрде жобалау қиын болады. 
Google, Apple және Amazon әлеуметтік желінің Parler қолданбасын тоқтатты. Парлер App Store, Google Play және Amazon Web Services қызметтерінде қол жетімді болмады, бұған БАҚ арқылы зорлық-зомбылыққа шақырған қолданушылардың жазбаларына бақылау жеткіліксіз деп айтылған.Павло Гончардың фотосуреті / Getty Images арқылы SOPA суреттері / LightRocket
Біріншіден, болжамды бұзу әдісі. Parler AWS-тен ұрланғанға дейін, @donk_enby тұтқасы бар Twitter қолданушысы веб-сайттың пайдаланушы деректерін қалай жүктеу керектігін анықтады - мұның бәрі Parler қолданушыларының Капитолийді бұзғаны, офицерлерге шабуыл жасағандығы және одан әрі зорлық-зомбылық жоспарлағандығы туралы кез келген басқа ашық дәлелдермен бірге , өте ықтимал болуы мүмкін, Gizmodo хабарлағандай .
@donk_enby ақыры 56 терабайттық деректерді: фотосуреттерді, бейнелерді және мәтіндік жазбаларды ұрлады, олардың көпшілігінде кейбір GPS метадеректері бар, олар 6 қаңтарда Парлер қолданушыларын Капитолияға және оның айналасына оң әсерін тигізді, соның ішінде қауіпсіз жерлерде. Бұл мәліметтердің кем дегенде бір бөлігі - 56000 гигабайт - федералдық анықтамаларға сәйкес бүлікке қатысушыларды анықтау және ұстау үшін қолданылған, бірақ федерациялардың @ donk_envy-дің траншты қолданғаны туралы оң дәлел жоқ.
Бірақ бұл қалай жасалды? Ертедегі болжамдар @donk_enby немесе басқа хакер Parler әкімшісінің тіркелгі деректерін ұрлап алған болуы мүмкін деген пікірлер айтылды, бұл заңсыз әрекет болады. Қабылданған теория сол сияқты Іске қосу туралы хабарлады және бірнеше қауіпсіздік мамандары оның орнына веб-сайттың деректерін мұрағаттау және оны тез жасау үшін Parler-дің жеке API-сі қолданылғанын атап өтті.
Parler-дің дизайнерлері API-ға аутентификация талап ету арқылы кіруді шектемеді. Пайдаланушыларға артқы жағындағы деректерге қол жеткізу үшін арнайы тіркелгі деректері қажет емес еді. Бұл үлкен артқы есікті ашық қалдырды.
Қауіпсіздік туралы негізгі хаттамалар туралы білетін веб-сайттардың көпшілігі сұраныстың зиянды еместігін қамтамасыз ету үшін API-ге кіруге рұқсат бермейді. The Startup атап өткендей, екі жалпы аутентификация шешімдері - бұл API кілттері және токендер, олардың екеуі де кейбір жарамды тіркелгі деректерін қажет етеді, сонымен қатар веб-сайтқа деректерге кім кіретінін білуге мүмкіндік береді.
Ешқандай аутентификация талабы есікті ашық қалдырмады. Сонымен қатар, Парлердің дизайнерлері жылдамдықты шектеу тәсілімен екінші қорғаныс қабатын қосуға алаңдамады, яғни есіктің ашық немесе жабық тұрғанының орнына есік ашық болды.
Бағаны шектейтін пайдаланушы тіркелгі деректеріне қарамастан қанша дерекке қол жеткізе алатынын шектейді. Веб-қолданушылар жабайы табиғатта 429 тым көп сұраныс туралы қате туралы хабарламаны көрген болуы мүмкін, бұл өте көп соққылардың болғандығының немесе есіктен өту әрекеттері болғанының белгісі. Парлерде бұл да болған жоқ, демек, қорғалмаған артқа қол жеткізілгеннен кейін, @donk_enby сонымен қатар 48 сағат ішінде Парлердің деректерін мұрағаттай алды. (Бір қызығы, The Startup атап өткендей, Amazon Web Service-те Parler алаңдатпаған негізгі брандмауэр параметрі бар.)
Сонымен қатар, Parler сонымен қатар пайдаланушылар жойылған деп есептелген жазбалардың қол жетімді болуына және артта біреу болғаннан кейін оңай табуға рұқсат берді. Адам өліміне әкеліп соқтырған тәртіпсіздіктерден кейін кейбір Parler қолданушылары Интернеттегі дәлелдемелер туралы біліп, басқаларын 6 қаңтардан бастап өз жазбаларын өшіруге шақырды.
Parler-дің барлық жазбаларына 1-ге көбейген дәйекті сандар берілді, олар қолданушымен жойылған кезде де, олар артқы жағында қалды. @donk_enby әр жазбаны бір-бірлеп тауып, архивтейтін өте қарапайым сценарий жазуы керек сияқты. Парлер жүктелгенге дейін фотосуреттер мен бейнелерден және жазбалардан гео-тегтелген деректерді алып тастауға алаңдамағандықтан, бұл ақпарат мұрағатта күтіп отырды.
Мүмкін, WordPress-ті немесе басқа хостингтік бағдарламалық жасақтаманы пайдаланатын басқа веб-сайттарда осындай қауіпсіздік ақаулары болуы мүмкін, бірақ қауіпсіздік кемшіліктері сергек хакерлердің қызығушылығына айналуы және сол арқылы бұзылуы мүмкін.
Қауіпсіздік саласындағы сарапшы Эрих Крон: «Веб-сайттарда қарапайым, көбінесе автоматтандырылған тәсілдерден гөрі сурет салуға жеткіліксіз болғандықтан, байқалмай қалатын қауіпсіздік ақаулары, кейде елеусіз болуы сирек кездеседі. KnowBe4 , көрнекті қауіпсіздік шешімдері фирмасы. Сайт тез танымал болған кезде, осы сынақтардың фокусы мен күрделілігі артып, көбінесе осалдықтардың ашылуына әкеледі.
Бұл құбылыстың соңғы мысалдарының бірі, деді Крон, Үлкейту. COVID-19 пандемиясы барлық жұмысты қашықтықтан жүргізгенде, Zoom-дің бұрын анықталмаған қауіпсіздік ақаулары табылды, пайдаланылды, содан кейін тез жамалды. Парлермен бірге, қауіпсіздік сатушылары өздерінің бұрынғы клиенттерін ала бастаған кезде, олар шабуылшылардың, хактивистердің және басқалардың нысанасы болған кезде Парлерді осал етіп қалдырды, деп қосты Крон.
Парлер әлі өлген жоқ. Демалыс күндері, Parler-дің кейбір нұсқалары қайтарылды жек көрушілік сөздерін құптайтын басқа шеткі сайттарды орналастыратын сол веб-серверлерде. Сейсенбі күні кешке, сайттың басты беті техникалық қиындықтар қону парағы; сайттың негізін қалаушы Джон Матце деді Fox News айдың соңына дейін веб-сайт толықтай жұмыс істей бастайды (бірақ ұялы байланыс қолданушылары қосымшаның орнына веб-нұсқасын пайдаланып қалуы мүмкін). Интернеттегі оңшылдардың басқа да үйлері бар, дегенмен Золидс атап өткендей, Габ сияқты сөз бостандығына бағытталған форумдар Parler-ге қарағанда мазмұнды басқаруда белсенді болды.
@Donk_enby-дің Parler мәліметтеріне қалай қол жеткізгені және ашық есік теориясы дәл солай болған-болмағаны туралы толығырақ ақпарат пайда болуы мүмкін. (Киберқауіпсіздік мәселесінен бөлек тұру - бұл этиканың мәселелері; бұзу немесе бұзу, Парлердің пайдаланушы деректері Стейнберг айтқандай ұрланған, ал гист - бұл ештеңені атап өтуге болмайды).
Парлердің мәліметтері жаман дизайнмен жасалған деп есептесек, қазіргі кезде 6 қаңтардағы онлайн оқиға өзін-өзі айыптаудың қайталанған оқиғасы болып табылады: АҚШ Капитолийінде қыдырып жүрген бетпердесіз бүлікшілер, өздерінің бүлінген қосымша жоспарларын қуанышпен және ашық талқылай отырып, интернетте айыптаушы дәлелдер орналастырды. ал дәлелдемелерді анонимді немесе қауіпсіз сақтауға дайын емес веб-сайтқа.
