Parler, Twitter rip-off რომ ემსახურებოდა დონალდ ტრამპის ფანატიკოსების ერთ – ერთ მთავარ საორგანიზაციო საშუალებას ვინც 6 იანვარს შეიჭრა აშშ-ს კაპიტოლიუმში მეტწილად ხაზგარეშე რეჟიმში ერთ კვირაზე მეტი ხნის განმავლობაში. შეჩერებულ ანიმაციაში კი QAnon, ამაყი ბიჭები და ამერიკელი მემარჯვენეების სხვა ელემენტების სასურველი ონლაინ სახლი კვლავ უსიამოვნებებს ქმნის.
Amazon- ის, Apple- ისა და Google- ის გადაწყვეტილებებმა, რომ შეწყვიტონ საიტის მასპინძლობა და მობილური მომხმარებლებს აეკრძალოთ აპის ჩამოტვირთვა, გამოიწვია Big Tech- ის ცენზურის ძახილი. გარდა ამისა, პირველი შესწორება და ინტერნეტის რეგულირების პოლიტიკა გარდა იმისა, რომ პარლერი მონაცემებს აყრუებდა კარიდან გამოსვლისას, სერიოზულ კითხვებს ბადებს კიბერ უსაფრთხოების შესახებ, ასევე წუხს იმის შესახებ, აქვთ თუ არა ინტერნეტში სხვა მოთამაშეებს მონაცემთა დარღვევა.
მართალია შეუძლებელია გადამოწმება პარლერის კაპიუშონის ქვეშ თვალის გახელის გარეშე - ამოცანა ახლა შეუძლებელია, რადგან ვებგვერდი არ არის ხაზგარეშე - გაბატონებული თხრობაა ის, რომ Parler– ის უსაფრთხოების ხარვეზმა (ან ნაკლოვანებებმა) მისცა უფლება თეთრი ქუდის ჰაკერს ჩამოტვირთვისა და დაარქივების შესახებ Parler– ის მომხმარებლის ყველა მონაცემი მალე სანამ Amazon Web Services გააქტიურებდა საიტის ჰოსტინგს. ზოგიერთ შემთხვევაში, საზოგადოებისთვის (და სამართალდამცავი ორგანოებისთვის) წარმოდგენილ მონაცემებში, პოტენციური ინკრიმინაციული მდებარეობის მონაცემები შედის.
ილაპარაკე დაეყრდნო ვორპრესს , მსოფლიოში ყველაზე ხშირად გამოყენებული შინაარსის მართვის სისტემა. ამან გამოიწვია ვარაუდი, რომ WordPress იყო ხარვეზის ნაწილი და რომ ნებისმიერი სხვა, ვინც WordPress– ს გამოიყენებდა, საფრთხეში აღმოჩნდა. თუმცა, კიბერ უსაფრთხოების ექსპერტების ზოგადი კონსენსუსის თანახმად , მათ შორის ამ სტატიასთან დაკავშირებულ რამდენიმე პირს, Parler– ის მონაცემთა დარღვევა არ მოხდა მხოლოდ იმიტომ, რომ Parler– მა გამოიყენა WordPress. ამის ნაცვლად, Parler– ის მომხმარებლის მონაცემებმა გაჟონა, რადგან აღმასრულებელმა დირექტორმა John Matze– მა და საიტის არქიტექტორებმა Parler’s API– ში დატოვეს მნიშვნელოვანი ხარვეზები, რაც დაკავშირებულია Parler– ის ფრონტ – ენსა და მის მომხმარებლის მონაცემებს შორის.
Იხილეთ ასევე: ელონ მასკი ადანაშაულებს Facebook– სა და მარკ ცუკერბერგს Capitol Riot– ში
გაბატონებული რწმენა არის ის, რომ Parler იყო ნაჩქარევი, ცუდი დიზაინი buoyed მიერ სწორი მიდრეკილება ინვესტორები გახდეს საკმაოდ დიდი სანამ ისინი ნამდვილად აშენებული მყარი საფუძველი, ტექნოლოგიურად ანდრია ზოლიდები ”- განუცხადა Braganca- ს ქსავიერის უნივერსიტეტის კომუნიკაციების პროფესორმა, რომელიც ასწავლის ციფრული დიზაინის კურსებს. (პარლერის ინვესტორებს შორის არიან მემარჯვენე მილიარდერი რებეკა მერსერი , რომელიც შეეცადა მემარჯვენეების რისხვა დაეუფლებინა Twitter და Facebook– ზე Parler– ის აუდიტორიის გასაზრდელად.)
მიუხედავად იმისა, რომ ნებისმიერ ვებსაიტს აქვს თავისი კონფიდენციალურობის შეშფოთება, Parler, როგორც ჩანს, ძალიან დიდი ზომის, ძალიან სწრაფი საკითხის პრობლემა და არ აქვს შესაძლებლობა ან ტექნიკური ცოდნა, რომ რეალურად მოემზადოს ამისთვის, დასძინა ზოლიდესმა.
ზოგადად, ანონიმურობის ან უსაფრთხოების დაცვით დაინტერესებული ნებისმიერი ადამიანისთვის, სხვა საიტებმა შეიძლება თავიდან აიცილონ Parler ხაფანგი ... იმ პირობით, რომ ისინი არ არიან შედარებით ახალი და მცირე სტარტაპები, რომლებიც ცდილობენ კონკურენციას გაუწიონ ისეთ გიგანტებს, როგორიცაა Twitter და Facebook, რაც Parler– მა გააკეთა .
დიახ, Parler შეიძლებოდა უკეთესად შემუშავებულიყო, მაგრამ რეალისტურად რომ ვთქვათ, ეს ის პრობლემა ხდება, როდესაც თქვენ კონკურენციას უწევთ ზრდასრულ კომპანიებს, რომლებმაც მილიარდობით და მილიარდობით დოლარი ჩადეს თავიანთ პროდუქციაში, - თქვა ჯოზეფ სტეინბერგმა , უსაფრთხოების ექსპერტი და ავტორი კიბერუსაფრთხოება Dummies- სთვის . თქვენ გაგიჭირდებათ ყველაფრის შემუშავება, რაც გსურთ უსაფრთხოდ. 
Google- მა, Apple- მა და Amazon- მა შეაჩერეს სოციალური ქსელის პროგრამა Parler. Parler მიუწვდომელი გახდა App Store- ში, Google Play- სა და Amazon Web Services- ში, გავრცელებული ინფორმაციით, არასაკმარისი კონტროლი მომხმარებლის პოსტებზე, რაც ხელს უწყობდა ძალადობას, გავრცელებული ინფორმაციით მედიის მიერ.პავლო გონჩარის ფოტოს ილუსტრაცია / SOPA Images / LightRocket გეტის სურათებიდან
პირველი, სავარაუდო გატეხვის მეთოდი. სანამ Parler მოაცილებდა AWS- ს, Twitter- ის მომხმარებელმა სახელწოდებით @donk_enby გაარკვია, თუ როგორ უნდა ჩამოტვირთოთ ვებსაიტის მომხმარებლის მონაცემები - ეს ყველაფერი, ისევე როგორც სხვა საზოგადოებრივი მტკიცებულებებით Parler- ის მომხმარებლების მიერ კაპიტოლის დარღვევის, ოფიცრების შეურაცხყოფისა და შემდგომი ძალადობის შეთქმულების შესახებ. , პოტენციურად ძალიან ინკრიმინაციული იყო, როგორც გიზმოდომ მოახსენა .
@donk_enby საბოლოოდ მოიპოვა 56 ტერაბაიტიანი მონაცემები: ფოტოები, ვიდეოები და ტექსტური შეტყობინებები, რომელთაგან ბევრში შედის GPS მეტამონაცემები, რომლებიც დადებითად აყენებს Parler მომხმარებლებს კაპიტოლიუმში და მის მიმდებარე ტერიტორიაზე 6 იანვარს, მათ შორის დაცულ ადგილებში. ფედერალური სიგელის თანახმად, ამ მონაცემების ნაწილი, 56,000 გიგაბაიტი, გამოყენებულია ბუნტის მონაწილეთა დასადგენად და დასაპატიმრებლად, მაგრამ დადებითი ფაქტი არ არსებობს, რომ ფედებმა გამოიყენეს @ donk_envy მონაცემთა ტრანში.
მაგრამ როგორ გაკეთდა ეს? ადრეულმა სპეკულაციამ გაისმა, რომ @donk_enby- ს ან სხვა ჰაკერმა შეიძლება მოიპარა Parler- ის ადმინისტრატორის სერთიფიკატები, რაც უკანონო ქმედება იქნებოდა. მიღებული თეორია არის ის, რომ, როგორც სტარტაპი იტყობინება და უსაფრთხოების რამდენიმე ექსპერტმა აღნიშნა, რომ ამის ნაცვლად, Parler- ის საკუთარი API გამოიყენეს ვებსაიტის მონაცემების დასაარქივებლად და ამის გაკეთება სწრაფად.
Parler– ის დიზაინერებმა არ შეზღუდეს API– ზე წვდომა ავტორიზაციის მოთხოვნით. მომხმარებლებს არ სჭირდებოდათ სპეციალური სერთიფიკატები უკანა მხარეს არსებულ მონაცემებზე წვდომისთვის. ამან დატოვა უზარმაზარი უკანა კარი.
უსაფრთხოების ძირითადი პროტოკოლის შესახებ ცნობილი ვებსაიტების უმეტესობა არ იძლევა API– ს წვდომას მომხმარებლის ავტორიზაციის გარკვეული ფორმის გარეშე, იმის უზრუნველსაყოფად, რომ მოთხოვნა არ არის მავნე. როგორც Startup– მა აღნიშნა, ავთენტიფიკაციის ორი გავრცელებული გადაწყვეტილებაა API გასაღებები და სიმბოლოები, რომელთაგან ორივე საჭიროებს რწმუნებათა სიგელების ასლის გადაღებას, რაც ასევე საშუალებას მისცემს ვებ – გვერდს, იცოდეს ვინ ახდენს მონაცემებს.
ავტორიზაციის არცერთ მოთხოვნას კარი არ დაუტოვებია ცარიელი. გარდა ამისა, Parler- ის დიზაინერებმა თავი არ შეიწუხეს თავდაცვის მეორე ფენის დამატებაში, რაც განაკვეთი შეზღუდავს - ეს ნიშნავს, რომ კარების ნაცვლად ღია ან გაბზარული იყო, კარი ფართო იყო.
შეაფასეთ შეზღუდული რაოდენობა, თუ რამდენ მონაცემზე შეუძლია მომხმარებელს წვდომა სანდოობის მიუხედავად. შესაძლოა, ვებ – მომხმარებლებმა ნახეს 429 ძალიან ბევრი მოითხოვონ შეცდომის შეტყობინებები ველურ ბუნებაში, რაც იმის ნიშანია, რომ ძალიან ბევრი დარტყმა ან კარზე გასვლის მცდელობა იყო. Parler– ს არც ეს ჰქონდა, რაც იმას ნიშნავდა, რომ დაუცველი უკანა ბოლოდან შემოღების შემდეგ, @donk_enby– ს ასევე შეეძლო Parler– ის მონაცემების დაარქივება 48 საათში. (უცნაურად საკმარისია, როგორც Startup– მა აღნიშნა, Amazon Web Service– ს აქვს firewall– ის ძირითადი ვარიანტი, რომელსაც Parler– ს არ სჭირდებოდა.)
დაბოლოს, პარლერმა ასევე დაუშვა, რომ მისი მომხმარებლების აზრით, წაშლილი იყო როგორც ხელმისაწვდომი, ისე ადვილად აღმოჩენილი მას შემდეგ, რაც ვიღაც უკან დაბრუნდებოდა. სასიკვდილო არეულობების შემდეგ, Parler- ის ზოგი მომხმარებელი, რომლებმაც იცოდნენ ინტერნეტში არსებული მტკიცებულებების ნაკადის შესახებ, მოუწოდა სხვებს 6 იანვრიდან წაშალონ თავიანთი პოსტები.
პარლერის ყველა პოსტს მიენიჭა თანმიმდევრული რიცხვები, რომლებიც 1-ით გაიზარდა. მაშინაც კი, როდესაც მომხმარებელმა წაშალა ეს პოსტები, ისინი უკანა მხარეს დარჩნენ. როგორც ჩანს, @donk_enby– ს სჭირდებოდა დაწერა მხოლოდ ძალიან ძირითადი სკრიპტი, რომელიც ნაპოვნი და დაარქივებულია თითოეული პოსტი, სათითაოდ. და რადგან Parler თავს არ იწუხებდა გეო-ნიშნის მონაცემების ამოღებით ფოტოებიდან და ვიდეოებიდან და პოსტებიდან მათ ატვირთვის წინ, ეს ინფორმაცია იქვე იჯდა და დაარქივდა.
შესაძლებელია, რომ სხვა ვებსაიტებს, რომლებიც WordPress– ს ან სხვა ჰოსტინგის პროგრამას იყენებენ, შეიძლება ჰქონდეთ მსგავსი უსაფრთხოების ხარვეზები, მაგრამ ისინი ასევე არ არიან იმდენად სამარცხვინო, რომ უსაფრთხოების ეს ხარვეზები გახდეს ფხიზლი ჰაკერების ინტერესი და ამით დაირღვეს.
იშვიათია, რომ ვებსაიტებს აქვთ უსაფრთხოების ნაკლოვანებები, ზოგჯერ მნიშვნელოვანი, რომლებიც შეუმჩნეველი რჩება, რადგან ისინი არ არიან ისეთი პოპულარული, რომ უფრო მარტივად ნახონ, ხშირად ავტომატიზირებულნი, გააკეთონ მათ კომპრომისზე წასვლის მცდელობები, - თქვა ერიხ კრონმა, უსაფრთხოების ექსპერტმა KnowBe4 , უსაფრთხოების უსაფრთხოების გამოჩენილი ფირმა. როდესაც საიტი სწრაფად ხდება პოპულარული, ამ ტესტების ფოკუსირება და სირთულე იზრდება, რაც ხშირად იწვევს სისუსტეების აღმოჩენას.
კრონის თქმით, ამ ფენომენის ერთ-ერთი ბოლოდროინდელი მაგალითია მასშტაბირება. როდესაც COVID-19 პანდემიამ ყველა იმუშავა დისტანციურად, Zoom– ის ადრე აღმოჩენილი უსაფრთხოების ხარვეზები აღმოაჩინეს, გამოიყენეს და შემდეგ სწრაფად გაასწორეს. პარლერთან ერთად, როდესაც უსაფრთხოების გამყიდველებმა დაიწყეს უარი ეთქვათ თავიანთი ყოფილი კლიენტისთვის, ამან Parler დაუცველი დატოვა იმ დროს, როდესაც ისინი თავდამსხმელების, ჰაკტივისტების და სხვების სამიზნეები იყვნენ, დასძინა კრონმა.
პარლერი ჯერ არ არის მკვდარი. Შაბათ - კვირას, პარლერის ზოგიერთი ვერსია დაბრუნდა იმავე ვებ სერვერებზე, რომლებიც მასპინძლობენ სხვა ფარიალურ საიტებს, რომლებიც სიძულვილის ენას მიესალმებიან. სამშაბათს საღამოს, საიტის მთავარი გვერდია ტექნიკური სირთულეების სადესანტო გვერდი; საიტის დამფუძნებელი ჯონ მათე განუცხადა Fox News– ს ვებგვერდი თვის ბოლომდე გეგმავს ფუნქციონირებას (თუმცა მობილური ტელეფონის მომხმარებლები აპლიკაციის ნაცვლად ინტერნეტში გამოყენებულ ვერსიას გამოიყენებენ). ასევე არსებობს სახლები ინტერნეტ-მემარჯვენეებისთვის - თუმცა, როგორც ზოლიდესმა აღნიშნა, სიტყვის თავისუფლებაზე ორიენტირებული ფორუმები, როგორიცაა Gab, უფრო აქტიური იყო შინაარსის მოდერაციით, ვიდრე Parler.
დამატებითი დეტალები შეიძლება ჯერ კიდევ გაჩნდეს იმის შესახებ, თუ როგორ დაუკავშირდა @donk_enby პარლერის მონაცემებს და იყო თუ არა ღია კარის თეორია ზუსტად ის, რაც მოხდა. (და კიბერ უსაფრთხოების საკითხისგან დამოუკიდებლად დგომა ეთიკის საკითხებია; დარღვევა ან გატეხვა, პარლერის მომხმარებლის მონაცემები მაინც მოიპარეს, როგორც სტაინბერგმა თქვა, და მისგან არაფრის აღნიშვნა არ არის.)
ვთქვათ, რომ პარლერის მონაცემები ცუდი დიზაინით გაკეთდა, ახლა 6 იანვრის ონლაინ ამბავი ერთ – ერთი განმეორებითი თვითდანაშაულია: აშშ – ს კაპიტოლიაში მოხეტიალე ბუნდოვანი ამბოხებულები, მხიარულად და ღიად განიხილავენ თავიანთ შეუსრულებელ დამატებით გეგმებს, ინკრიმინაციული მტკიცებულებების განთავსებას ინტერნეტში. ხოლო ვებსაიტზე, რომელიც არ იყო მომზადებული, რომ ეს მტკიცებულება ანონიმური ან უსაფრთხო ყოფილიყო.
