Parler, Twitter-in qopardığını söylədi Donald Trump fanatikləri üçün əsas təşkilat vasitələrindən biri kimi xidmət etdi 6 yanvarda ABŞ Kapitoliyə basqın edənlər olmuşdur böyük ölçüdə oflayndır bir həftədən çoxdur. Ancaq dayandırılmış animasiyada da QAnon, Proud Boys və Amerikanın aşırı sağçılarının digər elementləri üçün üstünlük verilən onlayn ev hələ də problem yaradır.
Amazon, Apple və Google-ın saytı yerləşdirməyi tərk etməsi və mobil istifadəçilərin tətbiqini yükləməsini qadağan etməsi barədə qərarları Big Tech senzurasının fəryadlarına səbəb oldu. İlk Dəyişiklik və internet tənzimləmə siyasəti bir yana, Parler'in qapıdan çıxarkən məlumatları necə yığması, ciddi kiber təhlükəsizlik sualları ilə yanaşı, internetdəki digər oyunçuların da gələcəkdə məlumat pozuntuları olub olmadığına dair narahatlıqlar yaradır.
Parler-in başlıqlarına baxmadan yoxlamaq mümkün olmasa da - veb səhifəsi oflayn olduğu üçün indi mümkün olmayan bir vəzifə - hakim povest bir Parler təhlükəsizlik qüsurunun (və ya qüsurlarının) ağ papaqlı bir hackerin qısa müddət ərzində Parler-in bütün istifadəçi məlumatlarını yükləməsinə və arxivləşdirməsinə icazə verməsidir. əvvəl Amazon Veb Xidmətləri saytı yerləşdirmə fişini çəkdi. Xalqa (və hüquq-mühafizə orqanlarına) daxil olmaq üçün təqdim olunan məlumatlar arasında, bəzi hallarda potensial olaraq günahlandıran yer məlumatları da daxil edilmişdir.
Danışın Worpress-ə etibar etdi , dünyanın ən çox istifadə olunan məzmun idarəetmə sistemi. Bu, WordPress-in qüsurun bir hissəsi olduğu və WordPress-dən istifadə edən hər kəsin təhlükə altında olduğu barədə fərziyyələrə səbəb oldu. Lakin, kiber təhlükəsizlik mütəxəssislərinin ümumi bir konsensusuna görə Bu məqalə üçün əlaqə qurulan bir neçə şəxs də daxil olmaqla, Parler'in məlumat pozuntusu sadəcə Parler WordPress istifadə etdiyi üçün baş vermədi. Bunun əvəzinə, CEO John Matze və saytın memarları Parler’in ön tərəfi ilə istifadəçi məlumatları arasında əlaqə olan Parler’s API-də böyük qüsurlar buraxdığına görə Parler istifadəçi məlumatları sızdı.
Həmçinin bax: Elon Musk, Capitol Riot üçün Facebook və Mark Zuckerberg'i günahlandırır
Üstün inam, Parlerin, texnoloji cəhətdən möhkəm bir təməl qurmadan əvvəl olduqca böyümək üçün sağ meylli investorlar tərəfindən tələsik, zəif bir dizayn olmasıdır. Andrew Zolides Xavier Universitetində rəqəmsal dizayn kursları verən bir rabitə professoru Braganca-ə danışdı. (Parler’in investorları arasında sağ milyarder Rebekah Mercerdir , Parler'in auditoriyasını böyütmək üçün Twitter və Facebookdakı sağ qəzəbdən istifadə etməyə çalışdı.)
Hər hansı bir veb saytın məxfilik problemi olsa da, Parler çox böyümək, çox sürətli olmaq və buna hazırlaşmaq qabiliyyətinə və ya texniki biliklərə sahib olmamaq kimi görünür, deyə Zolides əlavə etdi.
Anonimlik və ya ümumiyyətlə təhlükəsizliklə maraqlanan hər kəs üçün xoş bir inkişaf olaraq, digər veb saytlar Parler tələsindən qaça bilər ... nisbətən yeni və kiçik startuplar olmamaq şərtilə Twitter və Facebook kimi köklü nəhənglərlə rəqabət etməyə çalışırlar, bu da Parler-in işlədiyi şeydir. .
Bəli, Parler daha yaxşı dizayn edilə bilərdi, amma real olaraq desək, bu, məhsullarına milyardlarla milyard dollar yatıran yetkin şirkətlərlə rəqabət etdiyiniz zaman ortaya çıxan problemdir, dedi Joseph Steinberg , təhlükəsizlik mütəxəssisi və müəllif Dummies üçün kiber təhlükəsizlik . İstədiyiniz hər şeyi etibarlı bir şəkildə dizayn etməkdə çətinlik çəkəcəksiniz. 
Google, Apple və Amazon sosial şəbəkə proqramı Parler'i dayandırdı. Parler App Store, Google Play və Amazon Web Services-də əlçatmaz hala gəldi. Bildirildiyi kimi, media tərəfindən şiddəti təşviq edən istifadəçi yazıları üzərində nəzarətin qeyri-kafi olması.Pavlo Gonchar tərəfindən Fotoqrafiya / Getty Images vasitəsilə SOPA Images / LightRocket
Birincisi, iddia edilən hack üçün metod. Parler AWS-dən qovulmadan əvvəl @donk_enby sapı olan bir Twitter istifadəçisi veb saytın istifadəçi məlumatlarının necə yüklənəcəyini düşündü - bunların hamısı, Parler istifadəçilərinin Capitol'u pozması, zabitlərə təcavüz etməsi və daha çox şiddət hazırlamaları ilə əlaqəli hər hansı digər ictimai sübutlarla birlikdə. , potensial olaraq çox ittihamçı, Gizmodo xəbər verdiyi kimi .
@donk_enby, nəticədə 56 terabayt dəyərində məlumatları ələ keçirdi: şəkillər, videolar və mətn yazıları; bunların bir çoxunda təhlükəsiz ərazilər daxil olmaqla 6 yanvar tarixində Parler istifadəçilərini Capitol və ətrafındakı bölgələrə müsbət qoyan bəzi GPS metadataları daxil edildi. Federal məlumatlara görə, bu məlumatların ən azı bir hissəsi - 56.000 gigabayt qiyam iştirakçılarını müəyyənləşdirmək və tutmaq üçün istifadə olunmuşdur, lakin federasiya orqanlarının @ donk_envy-nin məlumat tranşından istifadə etməsinə dair heç bir müsbət nəticə yoxdur.
Bəs bu necə edildi? Erkən fərziyyələr, @donk_enby və ya başqa bir hackerin Parler admin etimadnaməsini oğurladığı ehtimalını pozdu, bu isə qanunsuz bir hərəkət olardı. Qəbul edilmiş nəzəriyyə budur Başlanğıc bildirildi və bir neçə təhlükəsizlik mütəxəssisi vurğuladı ki, bunun əvəzinə veb saytın məlumatlarını arxivləşdirmək və bunu tez bir zamanda etmək üçün Parler-in öz API'si istifadə edildi.
Parler dizaynerləri identifikasiya tələb edərək API-yə girişi məhdudlaşdırmadı. İstifadəçilər arxa tərəfdəki məlumatlara daxil olmaq üçün xüsusi etimadnamələrə ehtiyac duymadılar. Nəhəng bir arxa qapı açıq qaldı.
Əsas təhlükəsizlik protokolundan xəbərdar olan əksər veb saytlar, sorğunun zərərli olmamasını təmin etmək üçün bir növ istifadəçi identifikasiyası olmadan API-yə girişə icazə vermir. Başlanğıcın qeyd etdiyi kimi, iki ümumi identifikasiya həlli, API açarları və ayələrdir, hər ikisi də veb saytın məlumatlara kimlərin daxil olduğunu bilməsinə imkan verən bəzi etibarlı etimadnamələrini tələb edir.
Heç bir identifikasiya tələbi qapını açıq qoymadı. Bunun üzərinə Parler'in dizaynerləri dərəcəni məhdudlaşdırmaq yolunda ikinci bir müdafiə qatını əlavə etməkdən narahat deyildilər - yəni qapı açıq və ya çatlamış yerinə qapı açıq idi.
Dərəcəni məhdudlaşdıran bir istifadəçi, etimadnamədən asılı olmayaraq nə qədər məlumat əldə edə bilər. Veb istifadəçiləri vəhşi təbiətdə 429 Too Many Request səhv mesajlarını görmüş ola bilər ki, bu da qapıdan çox sayda döyülmə və ya cəhd cəhdlərinin olduğuna işarədir. Parler-də də buna sahib deyildi, yəni təminatsız arxa tərəfə çatdıqdan sonra, @donk_enby də 48 saat ərzində Parler-in məlumatlarını arxivləşdirə bildi. (Qəribədir ki, Başlanğıcın qeyd etdiyi kimi, Amazon Veb Xidmətinin Parler-in narahat etmədiyi əsas bir firewall seçimi var.)
Nəhayət, Parler, istifadəçilərinin silindiklərinə inandıqları yazıların həm mövcud olmasına, həm də kiminsə arxa tərəfində olduqda asanlıqla aşkarlanmasına icazə verdi. Ölümcül iğtişaşlardan sonra bəzi Parler istifadəçiləri internetdə mövcud olan dəlillərdən xəbərdar olaraq digərlərini 6 yanvar tarixindən etibarən yazılarını silməyə təşviq etdilər.
Parler'in bütün yazılarına 1 ədəd artan ardıcıl nömrələr verildi. Bu yazılar istifadəçi tərəfindən silinsə də, arxada qaldı. Göründüyü kimi @donk_enby hər yazını bir-bir tapıb arxivləşdirən çox təməl bir skript yazmalı idi. Parler yüklənməmişdən əvvəl foto və videolardan və yazılardan coğrafi etiketli məlumatların silinməsindən narahat olmadığından, bu məlumatlar arxivləşdirilməyi gözləyərək orada oturmuşdu.
WordPress və ya digər hosting proqramını ümumiyyətlə istifadə edən digər veb saytların oxşar təhlükəsizlik qüsurlarına sahib ola bilməsi mümkündür, lakin bu təhlükəsizlik qüsurlarının sayıqlıqda olan hackerlərin marağına çevrilməsi və bununla da pozulmaları üçün bədnam olmaya bilər.
Təhlükəsizlik mütəxəssisi Erich Kron, veb saytların, bəzən əhəmiyyətli olan, qüsurlu olmaq cəhdlərindən daha çox rəsm çəkmək üçün populyar olmadığı üçün diqqət çəkməyən təhlükəsizlik qüsurlarına sahib olması nadir deyil. KnowBe4 , görkəmli bir təhlükəsizlik həlləri firmasıdır. Sayt tez bir zamanda populyarlaşdıqda, bu testlərin fokusu və mürəkkəbliyi artır və tez-tez zəifliklərin aşkarlanmasına səbəb olur.
Kronun dediyinə görə bu fenomenin son bir nümunəsi Zoom idi. COVID-19 pandemiyası bütün işləri uzaqdan işə saldıqda, Zoom'un əvvəllər aşkarlanmayan təhlükəsizlik qüsurları aşkar edildi, istismara verildi və sonra sürətlə yamaqlandı. Ancaq Parler ilə təhlükəsizlik satıcıları əvvəlki müştərilərini axtarmağa başladıqda, Parler'i təcavüzkarların, hacktivistlərin və digərlərinin hədəfi olduqları bir zamanda həssas buraxdılar, deyə Kron əlavə etdi.
Parler hələ ölməyib. Həftə sonu, Parler'ın bəzi versiyaları geri döndü nifrət nitqini qarşılayan digər saçaq saytlarını yerləşdirən eyni veb serverlərdə. Çərşənbə axşamı, saytın ana səhifəsi a texniki çətinliklər açılış səhifəsi; saytın qurucusu John Matze dedi Fox News veb sayt ayın sonuna qədər tam işlək vəziyyətə gəlməyi planlaşdırır (baxmayaraq ki, mobil istifadəçilər tətbiq əvəzinə veb əsaslı versiyadan istifadə edəcəklər). Onlayn sağçı üçün başqa evlər də var - Zolidesin də qeyd etdiyi kimi, Gab kimi söz azadlığına yönəldilmiş forumlar, Parler-dən daha çox məzmun tənzimləməsində daha fəaldır.
@Donk_enby-nin Parler məlumatlarına tam olaraq necə daxil olduğu və açıq qapı nəzəriyyəsinin tam olaraq olub-olmadığı barədə daha ətraflı məlumat hələ ortaya çıxa bilər. (Və kiber təhlükəsizlik sualından ayrı durmaq etik məsələlərdir; pozulması və ya hack edilməsi, Steinberqin dediyi kimi Parler istifadəçi məlumatları hələ də oğurlanmışdı və bir heist qeyd etmək üçün heç bir şey deyil.)
Parlerenin məlumatlarının pis dizaynla hazırlandığını fərz etsək, hələlik 6 yanvar tarixli onlayn hekayə təkrar özünə qarşı ittihamlardan biridir: ABŞ Kapitoliyunda gəzən maskasız qiyamçılar xoşagəlməz və açıq şəkildə pozduqları əlavə planları müzakirə edərək internetə ittihamedici dəlillər göndərirlər. bu vaxt, bu sübutları anonim və ya təhlükəsiz saxlamağa hazır olmayan bir veb saytına.
