Parler, el trampatge de Twitter que va servir com una de les principals eines d’organització per als fanàtics de Donald Trump qui ha assaltat el Capitoli dels Estats Units el 6 de gener, ho ha estat en gran part fora de línia durant més d’una setmana. Però fins i tot en l’animació suspesa, la casa en línia preferida per QAnon, els Proud Boys i altres elements de l’extrema dreta nord-americana segueix creant problemes.
Les decisions d’Amazon, Apple i Google de deixar d’allotjar el lloc i prohibir als usuaris mòbils la descàrrega de l’aplicació han provocat crits de censura de les grans tecnologies. Primera esmena i política de regulació d’Internet a banda, la manera com Parler va escampar dades a la porta planteja serioses qüestions de ciberseguretat i també preocupa si altres jugadors d’Internet tenen incompliments de dades en el seu futur.
Tot i que és impossible verificar-lo sense mirar sota el capó de Parler —una tasca ara impossible ja que el lloc web no té connexió—, la narrativa predominant és que un defecte (o defectes) de seguretat de Parler va permetre a un pirata informàtic descarregar i arxivar totes les dades d’usuari de Parler en breu. abans que Amazon Web Services estigués endollat per allotjar el lloc. Entre les dades presentades perquè el públic (i les autoritats policials) poguessin accedir, s’incloïen, en alguns casos, dades de localització potencialment incriminades.
Parla va confiar en Worpress , el sistema de gestió de contingut més utilitzat del món. Això ha fet que s’especuli que WordPress formava part de l’error i que qualsevol altra persona que utilitza WordPress corria perill. Malgrat això, segons un consens general d’experts en ciberseguretat , inclosos diversos contactats per a aquest article, la violació de dades de Parler no es va produir simplement perquè Parler va utilitzar WordPress. En canvi, les dades d’usuaris de Parler es van filtrar perquè el CEO John Matze i els arquitectes del lloc van deixar grans defectes a l’API de Parler, el vincle entre el front-end de Parler i les seves dades d’usuari.
Vegeu també: Elon Musk culpa a Facebook i Mark Zuckerberg de Capitol Riot
La creença predominant és que Parler era un disseny precipitat i pobre impulsat pels inversors inclinats a la dreta per esdevenir força gran abans que realment haguessin construït una base sòlida, tecnològicament parlant, Andrew Zolides , va dir a Braganca un professor de comunicacions de la Universitat Xavier que imparteix cursos de disseny digital. (Entre els inversors de Parler són el multimilionari de dretes Rebekah Mercer , que va intentar aprofitar la ira de la dreta per Twitter i Facebook per fer créixer l’audiència de Parler.)
Tot i que qualsevol lloc web té problemes de privadesa, Parler sembla un problema de fer-se massa gran, massa ràpid i no tenir la capacitat ni el coneixement tècnic per preparar-se realment per a això, va afegir Zolides.
En un desenvolupament benvingut per a qualsevol persona preocupada per l’anonimat o la seguretat en general, altres llocs web poden evitar la trampa de Parler ... sempre que no siguin startups relativament noves i petites que intentin competir amb gegants consolidats com Twitter i Facebook, que és exactament el que va fer Parler. .
Sí, Parler podria haver estat millor dissenyat, però realment parlant, aquest és el tipus de problema que passa quan competeix contra empreses madures que han invertit milers de milions de dòlars en els seus productes, va dir Joseph Steinberg , expert en seguretat i autor de Ciberseguretat per a maniquins . Tindràs dificultats per dissenyar tot el que vulguis d’una manera segura. 
Google, Apple i Amazon han suspès l’aplicació de xarxes socials Parler. Segons els informes, Parler no va estar disponible a l'App Store, Google Play i Amazon Web Services, segons va dir que hi havia un control insuficient sobre les publicacions dels usuaris que fomentaven la violència.Il·lustració fotogràfica de Pavlo Gonchar / SOPA Images / LightRocket a través de Getty Images
En primer lloc, el mètode del suposat hack. Abans que Parler fos retirat d'AWS, un usuari de Twitter amb el mànec @donk_enby va descobrir com descarregar les dades d'usuari del lloc web, tot això, juntament amb qualsevol altra evidència molt pública sobre els usuaris de Parler que infringien el Capitoli, agredien oficials i conspiraven més violències. , era potencialment molt incriminador, tal com va informar Gizmodo .
@donk_enby finalment va obtenir 56 terabytes de dades: fotos, vídeos i publicacions de text, molts dels quals incloïen algunes metadades GPS que van posar positivament els usuaris de Parler al Capitol i als voltants el 6 de gener, incloses les zones segures. Almenys algunes d’aquestes dades (56.000 gigabytes) s’han utilitzat per identificar i detenir els participants en disturbis, segons declaracions jurades federals, però no hi ha proves positives que els federats utilitzin el tram de dades de @ donk_envy.
Però, com es va fer? Les primeres especulacions van dir que @donk_enby o un altre pirata informàtic podrien haver robat les credencials d'administrador de Parler, cosa que seria un acte il·legal. La teoria acceptada és que, tal com L’inici reportat i diversos experts en seguretat han esbossat, en canvi, es va utilitzar la pròpia API de Parler per arxivar les dades del lloc web i fer-ho ràpidament.
Els dissenyadors de Parler no van restringir l'accés a l'API en requerir autenticació. Els usuaris no necessitaven credencials específiques per accedir a les dades de la part posterior. Això va deixar una enorme porta del darrere oberta.
La majoria de llocs web conscients del protocol de seguretat bàsic no permeten l’accés a l’API sense cap tipus d’autenticació d’usuari per garantir que la sol·licitud no sigui malintencionada. Com va assenyalar The Startup, dues solucions d’autenticació habituals són les claus i els tokens d’API, que requereixen algunes credencials vàlides que també permeten al lloc web saber qui accedeix a les dades.
Cap requisit d'autenticació no va deixar una porta oberta. A més, els dissenyadors de Parler no es van molestar a afegir una segona capa de defensa per tal de limitar el ritme, és a dir, en comptes de tenir una porta oberta o deixar-la esquerdada, la porta estava oberta de bat a bat.
La limitació de la velocitat limita la quantitat de dades que pot accedir un usuari independentment de les credencials. És possible que els usuaris del web hagin vist 429 Massa missatges de sol·licitud d’error en llibertat, cosa que és un senyal que hi ha hagut massa cops o intents de passar per la porta. Parler tampoc no tenia això, cosa que significava que, un cop accedit al back-end no segur, @donk_enby també va poder arxivar les dades de Parler en un termini de 48 hores. (Curiosament, com va assenyalar The Startup, Amazon Web Service té una opció bàsica de tallafocs que Parler no semblava molestar).
Finalment, Parler també va permetre que les publicacions que els seus usuaris creien que havien estat suprimides estiguessin disponibles i es descobrissin fàcilment una vegada que algú es trobava al darrere. Després dels disturbis mortals, alguns usuaris de Parler, conscients de les proves de proves disponibles al web, van animar altres a eliminar les seves publicacions a partir del 6 de gener.
Totes les publicacions de Parler van rebre números seqüencials que van augmentar en 1. Fins i tot quan l'usuari les va esborrar, es van mantenir a la part posterior. Aparentment, @donk_enby només necessitava escriure un script molt bàsic que trobés i arxivés cada publicació, una per una. I com que Parler no es va preocupar d’eliminar les dades etiquetades geogràficament de les fotos, dels vídeos i de les publicacions abans de penjar-les, aquesta informació també estava asseguda allà esperant ser arxivada.
És possible que altres llocs web que utilitzen WordPress o un altre programari d’allotjament tinguin defectes de seguretat similars, però tampoc poden ser prou infames perquè aquests defectes de seguretat esdevinguin l’interès dels pirates informàtics vigilants i, per tant, siguin incomplits.
No és estrany que els llocs web tinguin defectes de seguretat, de vegades importants, que passin desapercebuts perquè no són prou populars per dibuixar més que senzills intents, sovint automatitzats, de comprometre’ls, va dir Erich Kron, expert en seguretat amb KnowBe4 , una important empresa de solucions de seguretat. Quan el lloc es fa popular ràpidament, l’enfocament i la complexitat d’aquestes proves augmenten, cosa que sovint fa que es detectin vulnerabilitats.
Un exemple recent d’aquest fenomen, va dir Kron, va ser Zoom. Quan la pandèmia COVID-19 va fer funcionar de forma remota, es van descobrir, explotar i després corregir ràpidament els defectes de seguretat que abans no es detectaven. Però amb Parler, quan els proveïdors de seguretat van començar a abandonar el seu antic client, va deixar Parler vulnerable en un moment en què també eren objectiu d’atacants, hacktivistes i altres, va afegir Kron.
Parler encara no està mort. El cap de setmana, va tornar alguna versió de Parler als mateixos servidors web que allotgen altres llocs marginals que acullen el discurs d’odi. A partir de dimarts al vespre, la pàgina principal del lloc és un pàgina de destinació de dificultats tècniques; fundador del lloc John Matze va dir a Fox News el lloc web té previst ser totalment funcional a finals de mes (tot i que és probable que els usuaris mòbils quedin bloquejats amb la versió basada en web en lloc d’una aplicació). I hi ha altres llars per a l'extrema dreta en línia, tot i que, com va assenyalar Zolides, els fòrums centrats en la llibertat d'expressió com Gab han estat més proactius amb moderació de contingut que Parler.
És possible que encara sorgeixin més detalls sobre com @donk_enby va accedir a les dades de Parler i si la teoria de les portes obertes va ser exactament el que va passar. (I separats de la qüestió de ciberseguretat hi ha qüestions ètiques; incompliment o pirateria, les dades dels usuaris de Parler encara van ser robades, com va dir Steinberg, i un atracament no és res a celebrar).
Suposant que les dades de Parler es van fer amb un mal disseny, de moment, la història en línia del 6 de gener és una de les autoinculpacions repetides: disturbis sense màscares que vaguen pel Capitoli dels Estats Units, discutint alegrement i obertament els seus plans addicionals frustrats, publicant proves incriminatòries a Internet. mentre, a un lloc web que no estava preparat per mantenir aquestes proves anònimes ni segures.
