Parler, Twitter rip-off det tjente som et af de vigtigste organiseringsværktøjer for Donald Trump-fanatikere der stormede det amerikanske Capitol den 6. januar, har været stort set offline i mere end en uge. Men selv i suspenderet animation skaber det foretrukne online hjem for QAnon, de stolte drenge og andre elementer i den amerikanske yderste højrefløj stadig problemer.
Beslutninger fra Amazon, Apple og Google om at holde op med at være vært for webstedet og forbyde mobilbrugere at downloade appen har udløst råb af Big Tech-censur. Første ændring og internetreguleringspolitik til side, den måde, Parler sprang data på vej ud af døren, rejser alvorlige cybersikkerhedsspørgsmål samt bekymringer om, hvorvidt andre spillere på internettet har databrud i deres fremtid.
Selvom det er umuligt at verificere uden at kigge under Parlers hætte - en opgave, der nu er umulig, da webstedet er offline - er den fremherskende fortælling, at en Parler-sikkerhedsfejl (eller mangler) tillod en hatshacker at downloade og arkivere alle Parlers brugerdata kort tid inden Amazon Web Services trak stikket ud af hosting af webstedet. Blandt de data, der blev præsenteret for offentligheden (og retshåndhævelse) for at få adgang, omfattede i nogle tilfælde potentielt inkriminerende placeringsdata.
Tale stod på Worpress , verdens mest anvendte indholdsstyringssystem. Det har ført til spekulationer om, at WordPress var en del af fejlen, og at alle andre, der bruger WordPress, var i fare. Imidlertid, ifølge en generel konsensus af cybersikkerhedseksperter , inklusive flere, der er kontaktet for denne artikel, skete Parlers databrud ikke bare fordi Parler brugte WordPress. I stedet lækkede Parlers brugerdata, fordi CEO John Matze og webstedsarkitekterne efterlod store fejl i Parlers API, forbindelsen mellem Parlers front-end og dens brugerdata.
Se også: Elon Musk bebrejder Facebook og Mark Zuckerberg for Capitol Riot
Den overvejende overbevisning er, at Parler var et forhastet, dårligt design, der blev opsamlet af højreorienterede investorer for at blive temmelig store, før de virkelig havde bygget et solidt fundament, teknologisk set, Andrew Zolides , en professor i kommunikation ved Xavier University, der underviser i kurser i digitalt design, fortalte Braganca. (Blandt Parlers investorer er den højreorienterede milliardær Rebekah Mercer , der forsøgte at udnytte højreorienteret vrede over Twitter og Facebook for at udvide Parlers publikum.)
Mens ethvert websted har sine privatlivsproblemer, virker Parler som et spørgsmål om at blive for stor, for hurtig og ikke have evnen eller den tekniske know-how til rent faktisk at forberede sig på det, tilføjede Zolides.
I en velkomstudvikling for alle, der er bekymrede over anonymitet eller sikkerhed generelt, kan andre websteder undgå Parler-fælden ... forudsat at de ikke er relativt nye og små startups, der forsøger at konkurrere med etablerede giganter som Twitter og Facebook, hvilket er nøjagtigt hvad Parler gjorde .
Ja, Parler kunne have været bedre designet, men realistisk set er dette den slags problem, der opstår, når du konkurrerer mod modne virksomheder, der har investeret milliarder og milliarder dollars i deres produkter, sagde Joseph Steinberg , en sikkerhedsekspert og forfatter af Cybersikkerhed for dummies . Du har svært ved at designe alt, hvad du vil, på en sikker måde. 
Google, Apple og Amazon har suspenderet den sociale netværksapp Parler. Parler blev utilgængelig i App Store, Google Play og Amazon Web Services, angiveligt som sagt utilstrækkelig kontrol over brugerindlæg, der opmuntrede til vold, angiveligt af medier.Fotoillustration af Pavlo Gonchar / SOPA Images / LightRocket via Getty Images
For det første metoden til det påståede hack. Før Parler blev trukket tilbage fra AWS, fandt en Twitter-bruger med håndtaget @donk_enby ud af, hvordan man downloadede webstedets brugerdata - alt sammen med alt andet meget offentligt bevis for, at Parler-brugere overtrådte Capitol, angreb på officerer og planlagt yderligere vold , var potentielt meget inkriminerende, som Gizmodo rapporterede .
@donk_enby til sidst fanget data på 56 terabyte: fotos, videoer og tekstindlæg, hvoraf mange omfattede nogle GPS-metadata, der positivt placerede Parler-brugere i og omkring Capitol den 6. januar, inklusive i sikre områder. I det mindste nogle af disse data - 56.000 gigabyte - er blevet brugt til at identificere og pågribe oprørsdeltagere ifølge føderale erklæringer, men der er intet bevis, der er positivt for, at feds brugte @ donk_envy's datatranche.
Men hvordan blev det gjort? Tidlig spekulation surrede over, at @donk_enby eller en anden hacker muligvis har stjålet Parler-administratorlegitimationsoplysninger, hvilket ville være en ulovlig handling. Den accepterede teori er, at, som Opstarten rapporteret og flere sikkerhedseksperter har i stedet beskrevet, at Parlers egen API blev brugt mod den til at arkivere webstedets data - og til at gøre det hurtigt.
Parlers designere begrænsede ikke adgangen til API'et ved at kræve godkendelse. Brugere havde ikke brug for specifikke legitimationsoplysninger for at få adgang til dataene i bagenden. Det efterlod en enorm bagdør åben.
De fleste websteder, der er opmærksomme på den grundlæggende sikkerhedsprotokol, tillader ikke adgang til API'en uden en eller anden form for brugergodkendelse for at sikre, at anmodningen ikke er skadelig. Som The Startup påpegede, er to almindelige godkendelsesløsninger API-nøgler og tokens, som begge kræver nogle gyldige legitimationsoplysninger, der også giver webstedet mulighed for at vide, hvem der har adgang til dataene.
Intet godkendelseskrav efterlod en dør på klem. Oven i det gik ikke Parlers designere med at tilføje et andet forsvarslag i vejen for hastighedsbegrænsning - hvilket betyder, at i stedet for en dør på klem eller venstre revnet, var døren vidåben.
Hastighedsbegrænsende grænser for, hvor meget data en bruger kan få adgang til uanset legitimationsoplysninger. Webbrugere kan have set 429 for mange anmodningsfejlmeddelelser ude i naturen, hvilket er et tegn på, at der har været for mange banke eller forsøg på at passere gennem døren. Parler havde heller ikke dette, hvilket betød, at når den usikrede bagende blev åbnet, kunne @donk_enby også arkivere Parlers data inden for 48 timer. (Mærkeligt nok, som The Startup påpegede, har Amazon Web Service en grundlæggende firewall-indstilling, som Parler ikke så ud til at gider med.)
Endelig tillod Parler også indlæg, som brugerne mente blev slettet, for at være både tilgængelige og let opdagede, når nogen var i bagenden. I kølvandet på de dødbringende optøjer opfordrede nogle Parler-brugere, der var opmærksomme på de beviser, der var tilgængelige på nettet, andre til at slette deres indlæg fra den 6. januar.
Alle Parlers indlæg fik sekventielle numre, der steg med 1. Selv når disse indlæg blev slettet af brugeren, forblev de i bagenden. @donk_enby havde tilsyneladende behov for kun at skrive et meget grundlæggende script, der fandt og arkiverede hvert indlæg en efter en. Og da Parler ikke gider at fjerne geomærkede data fra fotos og videoer og indlæg, før de blev uploadet, sad disse oplysninger også der og ventede på at blive arkiveret.
Det er muligt, at andre websteder, der helt bruger WordPress eller anden hosting-software, kan have lignende sikkerhedsfejl, men de er måske ikke berygtede nok til, at disse sikkerhedsfejl bliver interesserede for årvågen hackere og dermed bliver overtrådt.
Det er ikke ualmindeligt, at websteder har sikkerhedsfejl, sommetider signifikante, der går ubemærket hen, fordi de ikke er populære nok til at tegne mere end enkle, ofte automatiserede, forsøg på at kompromittere dem, sagde Erich Kron, en sikkerhedsekspert med KnowBe4 , et fremtrædende firma med sikkerhedsløsninger. Når webstedet hurtigt bliver populært, øges disse tests fokus og kompleksitet, hvilket ofte fører til, at sårbarheder bliver opdaget.
Et nylig eksempel på dette fænomen, sagde Kron, var Zoom. Da COVID-19-pandemien fik alt arbejde til at fungere fjernt, blev Zooms tidligere uopdagede sikkerhedsfejl opdaget, udnyttet og derefter patchet hurtigt. Men med Parler, da sikkerhedsleverandører begyndte at droppe deres tidligere klient, efterlod det Parler sårbare på et tidspunkt, de var også et mål for angribere, hacktivister og andre, tilføjede Kron.
Parler er endnu ikke død. I weekenden, en eller anden version af Parler vendte tilbage på de samme webservere, der er vært for andre frynsesider, der byder hadefuld tale. Fra tirsdag aften webstedets hjemmeside er en tekniske vanskeligheder landingsside; site grundlægger John Matze fortalte Fox News webstedet planlægger at være fuldt funktionel i slutningen af måneden (selvom mobilbrugere sandsynligvis vil sidde fast ved hjælp af den webbaserede version i stedet for en app). Og der er andre hjem for højrefløjten på nettet - men som Zolides påpegede, har fora med fri ydeevne som Gab været mere proaktive med indholdsmoderation end Parler.
Flere detaljer kan muligvis endnu opstå på, hvordan @donk_enby fik adgang til Parlers data, og om åben-dør-teorien var præcis, hvad der skete. (Og står adskilt fra cybersikkerhedsspørgsmålet er spørgsmål om etik; overtrædelse eller hack, Parlers brugerdata blev stadig stjålet, som Steinberg sagde, og en heist er intet at fejre.)
Under forudsætning af, at Parlers data blev udført ved dårligt design, er onlinehistorien fra 6. januar en gentagen selvinkriminering: umaskerede oprørere, der vandrer rundt i US Capitol, diskuterer glædeligt og åbent deres folierede supplerende planer og offentliggør inkriminerende beviser på Internettet alle tiden, til et websted, der ikke var parat til at holde dette bevis anonymt eller sikkert.
![Conan præsenterer over senatens første live homoseksuelle bryllup; Mennesker, der hader homoseksuelle bryllupper, udbreder [Video]](https://newbornsplanet.com/img/politics/83/conan-presides-over-late-nights-first-live-gay-wedding.jpg)
