Parler,推特抄袭 成为唐纳德特朗普狂热分子的主要组织工具之一 谁在 1 月 6 日冲进美国国会大厦, 大部分离线 一个多星期。但即使在假死中,QAnon、骄傲男孩和其他美国极右翼分子的首选在线主页仍然在制造麻烦。
亚马逊、苹果和谷歌停止托管该网站并禁止移动用户下载该应用程序的决定引发了科技巨头审查的呼声。撇开第一修正案和互联网监管政治不谈,Parler 在出门时涌出数据的方式引发了严重的网络安全问题,并担心互联网上的其他参与者未来是否会发生数据泄露。
尽管不窥探 Parler 的幕后就无法进行验证(由于网站处于离线状态,因此现在无法完成这项任务),但普遍的说法是 Parler 的安全缺陷(或多个缺陷)允许白帽黑客在短时间内下载和存档 Parler 的所有用户数据在亚马逊网络服务取消托管网站之前。在提供给公众(和执法部门)访问的数据中,在某些情况下包括可能导致犯罪的位置数据。
说话 依赖于 Worpress ,世界上最常用的内容管理系统。这导致人们猜测 WordPress 是该缺陷的一部分,其他任何使用 WordPress 的人都处于危险之中。然而, 根据网络安全专家的普遍共识 ,包括本文联系的几位,Parler 的数据泄露并不是因为 Parler 使用了 WordPress。相反,Parler 的用户数据泄露是因为 CEO John Matze 和该网站的架构师在 Parler 的 API(Parler 的前端与其用户数据之间的链接)中留下了重大缺陷。
也可以看看: 埃隆马斯克将国会骚乱归咎于 Facebook 和马克扎克伯格
主要的信念是 Parler 是一个仓促、糟糕的设计,在右倾投资者的支持下,他们在真正建立起坚实的基础之前就变得非常庞大,从技术上讲, 安德鲁·佐利德斯 ,一位教授数字设计课程的泽维尔大学传播学教授告诉观察家。 (在 Parler 的投资者中 是右翼亿万富翁丽贝卡默瑟 ,他试图利用右翼对 Twitter 和 Facebook 的愤怒来增加 Parler 的受众。)
Zolides 补充说,虽然任何网站都有其隐私问题,但 Parler 似乎是一个变得太大、太快并且没有能力或技术知识来实际准备的问题。
对于任何关心匿名性或一般安全性的人来说,这是一个受欢迎的发展,其他网站可以避免 Parler 陷阱……前提是它们不是相对较新的小型初创公司,它们试图与 Twitter 和 Facebook 等老牌巨头竞争,而这正是 Parler 所做的.
是的,Parler 本来可以设计得更好,但实际上,当您与已在其产品上投入数十亿美元的成熟公司竞争时,就会出现这种问题, 约瑟夫·斯坦伯格说 ,安全专家和作者 傻瓜的网络安全 .您将很难以安全的方式设计您想要的一切。 
谷歌、苹果和亚马逊已经暂停了社交网络应用 Parler。 Parler 在 App Store、Google Play 和 Amazon Web Services 中不可用,据报道是因为对鼓励暴力的用户帖子的控制不足,据报道是媒体报道。Pavlo Gonchar/SOPA Images/LightRocket 通过盖蒂图片社拍摄的照片插图
第一,被指控的黑客攻击的方法。在 Parler 从 AWS 中撤出之前,一个名为 @donk_enby 的 Twitter 用户想出了如何下载该网站的用户数据——所有这些,以及任何其他关于 Parler 用户违反国会大厦、袭击官员和策划进一步暴力的公开证据,可能非常有罪, 正如 Gizmodo 报道的那样 .
@donk_enby 最终获取了 56 TB 的数据:照片、视频和文本帖子,其中许多包含一些 GPS 元数据,这些元数据在 1 月 6 日积极地将 Parler 用户置于国会大厦及其周围,包括安全区域。根据联邦宣誓书,其中至少有一些数据(56,000 GB)已被用于识别和逮捕骚乱参与者,但没有正面证据表明联邦政府使用了@donk_envy 的数据部分。
但是它是怎么做的呢?早期的猜测是,@donk_enby 或其他黑客可能窃取了 Parler 管理员凭据,这将是一种非法行为。公认的理论是,作为 初创公司 报道 并且几位安全专家概述了相反,Parler 自己的 API 被用来对它进行存档网站的数据——而且这样做的速度很快。
Parler 的设计者没有通过要求身份验证来限制对 API 的访问。用户不需要特定的凭据即可访问后端的数据。这留下了一个巨大的后门。
大多数了解基本安全协议的网站都不允许在没有某种形式的用户身份验证以确保请求不是恶意的情况下访问 API。正如 The Startup 指出的那样,两种常见的身份验证解决方案是 API 密钥和令牌,两者都需要一些有效的凭据,这些凭据还可以让网站知道谁在访问数据。
没有身份验证要求使门半开。最重要的是,Parler 的设计师并没有费心以限速的方式添加第二层防御——这意味着门不是半开的或开裂的,而是敞开的。
无论凭据如何,速率限制都会限制用户可以访问的数据量。网络用户可能已经在野外看到了 429 Too Many Request 错误消息,这表明敲门或试图通过门的次数过多。 Parler 也没有这个,这意味着一旦访问了不安全的后端,@donk_enby 也能够在 48 小时内存档 Parler 的数据。 (奇怪的是,正如 The Startup 指出的那样,Amazon Web Service 有一个基本的防火墙选项,Parler 似乎并不介意。)
最后,Parler 还允许其用户认为已删除的帖子可用,并且一旦有人在后台就很容易被发现。在致命的骚乱之后,一些 Parler 用户意识到网络上可用的大量证据,鼓励其他人从 1 月 6 日起删除他们的帖子。
Parler 的所有帖子都被赋予了递增 1 的序列号。 即使这些帖子被用户删除,它们仍然保留在后端。 @donk_enby 显然只需要编写一个非常基本的脚本,一个一个地找到并归档每个帖子。而且由于 Parler 在上传照片、视频和帖子之前没有费心从这些数据中删除地理标记数据,因此这些信息也在那里等待存档。
其他完全使用 WordPress 或其他托管软件的网站可能存在类似的安全漏洞,但它们也可能不够臭名昭著,以至于这些安全漏洞成为私刑黑客的兴趣并因此被破坏。
安全专家埃里希·克朗 (Erich Kron) 表示,网站存在安全漏洞(有时是重大漏洞)的情况并不少见,因为它们不够流行,只能通过简单的、通常是自动化的尝试来破坏它们。 KnowBe4 ,一家著名的安全解决方案公司。当站点迅速流行时,这些测试的重点和复杂性就会增加,通常会导致漏洞被发现。
Kron 说,最近这种现象的一个例子是 Zoom。当 COVID-19 大流行使所有工作都远程工作时,Zoom 以前未被发现的安全漏洞被发现、利用并迅速修补。但是对于 Parler,当安全供应商开始放弃他们以前的客户端时,它使 Parler 变得脆弱,同时他们也是攻击者、黑客行动主义者和其他人的目标,Kron 补充道。
帕勒还没有死。整个周末, 某些版本的 Parler 返回 在托管其他欢迎仇恨言论的边缘网站的同一网络服务器上。截至周二晚上, 该网站的主页是 登陆页面技术困难;网站创始人约翰马茨 告诉福克斯新闻 该网站计划在本月底之前全面运行(尽管移动用户可能会被困在使用基于网络的版本而不是应用程序)。在线极右翼还有其他家——不过,正如 Zolides 所指出的,像 Gab 这样专注于言论自由的论坛在内容审核方面比 Parler 更加积极主动。
更多细节可能会出现在@donk_enby 如何访问 Parler 的数据以及开门理论是否正是发生的事情上。 (与网络安全问题无关的是道德问题;违反或黑客攻击,Parler 的用户数据仍然被盗,正如 Steinberg 所说,抢劫没有什么值得庆祝的。)
假设 Parler 的数据是由糟糕的设计完成的,就目前而言,1 月 6 日的网络故事是一次重复的自证其罪:不戴面具的暴徒在美国国会大厦游荡,兴高采烈地公开讨论他们挫败的额外计划,将有罪证据发布到互联网同时,到一个网站,该网站不准备保持匿名或安全的证据。
