Parler, die Twitter-Abzocke, die diente als eines der wichtigsten Organisationsinstrumente für die Donald Trump-Fanatiker der am 6. Januar das US-Kapitol stürmte, war weitgehend offline für mehr als eine Woche. Aber selbst in ausgesetzten Animationen sorgt das bevorzugte Online-Zuhause für QAnon, die Proud Boys und andere Elemente der amerikanischen Rechtsextremen immer noch für Ärger.
Entscheidungen von Amazon, Apple und Google, das Hosting der Website einzustellen und mobilen Benutzern das Herunterladen der App zu verbieten, haben Rufe nach Big Tech-Zensur ausgelöst. Abgesehen von First Amendment und Internet-Regulierungspolitik wirft die Art und Weise, wie Parler Daten auf dem Weg nach draußen schürte, ernsthafte Fragen der Cybersicherheit auf sowie Sorgen darüber, ob andere Akteure im Internet in Zukunft Datenschutzverletzungen haben.
Obwohl es unmöglich ist, dies zu überprüfen, ohne unter Parlers Haube zu blicken – eine Aufgabe, die jetzt unmöglich ist, da die Website offline ist –, ist die vorherrschende Erzählung, dass ein Parler-Sicherheitsfehler (oder -fehler) es einem White-Hat-Hacker ermöglicht hat, alle Benutzerdaten von Parler in Kürze herunterzuladen und zu archivieren bevor Amazon Web Services den Stecker zum Hosten der Site gezogen hat. Zu den Daten, die der Öffentlichkeit (und den Strafverfolgungsbehörden) zum Zugriff angeboten werden, gehören in einigen Fällen potenziell belastende Standortdaten.
Sprechen verließ sich auf Worpress , das weltweit meistgenutzte Content-Management-System. Das hat zu Spekulationen geführt, dass WordPress Teil des Fehlers war und dass alle anderen, die WordPress verwenden, in Gefahr waren. Jedoch, nach allgemeinem Konsens von Cybersicherheitsexperten , darunter mehrere, die für diesen Artikel kontaktiert wurden, ist Parlers Datenschutzverletzung nicht nur deshalb passiert, weil Parler WordPress verwendet hat. Stattdessen sind die Benutzerdaten von Parler durchgesickert, weil CEO John Matze und die Architekten der Website große Mängel in der API von Parler hinterlassen haben, der Verbindung zwischen Parlers Front-End und seinen Benutzerdaten.
Siehe auch: Elon Musk macht Facebook und Mark Zuckerberg für Capitol Riot verantwortlich
Die vorherrschende Meinung ist, dass Parler ein überstürztes, schlechtes Design war, das von rechtsgerichteten Investoren getragen wurde, um ziemlich groß zu werden, bevor sie wirklich eine solide Grundlage geschaffen hatten, technologisch gesehen. Andrew Zolides , ein Professor für Kommunikation an der Xavier University, der Kurse in digitalem Design unterrichtet, gegenüber Braganca. (Unter den Investoren von Parler sind die rechte Milliardärin Rebekah Mercer , der versuchte, aus der Wut des rechten Flügels auf Twitter und Facebook Kapital zu schlagen, um das Publikum von Parler zu vergrößern.)
Während jede Website ihre Datenschutzbedenken hat, scheint Parler ein Problem zu sein, zu groß und zu schnell zu werden und nicht die Fähigkeit oder das technische Know-how zu haben, sich darauf tatsächlich vorzubereiten, fügte Zolides hinzu.
Eine willkommene Entwicklung für alle, die sich um Anonymität oder Sicherheit im Allgemeinen sorgen, können andere Websites der Parler-Falle entgehen… vorausgesetzt, es handelt sich nicht um relativ neue und kleine Startups, die versuchen, mit etablierten Giganten wie Twitter und Facebook zu konkurrieren, und genau das hat Parler getan .
Ja, Parler hätte besser gestaltet sein können, aber realistisch gesehen treten solche Probleme auf, wenn man mit reifen Unternehmen konkurriert, die Milliarden und Abermilliarden von Dollar in ihre Produkte investiert haben. sagte Joseph Steinberg , ein Sicherheitsexperte und Autor von Cybersicherheit für Dummies . Es wird Ihnen schwer fallen, alles, was Sie wollen, auf sichere Weise zu gestalten. 
Google, Apple und Amazon haben die Social-Networking-App Parler eingestellt. Parler wurde im App Store, bei Google Play und bei Amazon Web Services nicht verfügbar, angeblich unzureichende Kontrolle über Benutzerbeiträge, die Gewalt förderten, angeblich durch Medien.Fotoillustration von Pavlo Gonchar/SOPA Images/LightRocket über Getty Images
Zuerst die Methode für den angeblichen Hack. Bevor Parler aus AWS gerissen wurde, hat ein Twitter-Benutzer mit dem Handle @donk_enby herausgefunden, wie man die Benutzerdaten der Website herunterlädt – alles zusammen mit anderen sehr öffentlichen Beweisen dafür, dass Parler-Benutzer das Kapitol durchbrechen, Beamte angreifen und weitere Gewalt planen , war potenziell sehr belastend, wie Gizmodo berichtete .
@donk_enby sammelte schließlich 56 Terabyte an Daten: Fotos, Videos und Textbeiträge, von denen viele einige GPS-Metadaten enthielten, die Parler-Benutzer am 6. Januar positiv in und um das Kapitol brachten, auch in gesicherten Bereichen. Zumindest einige dieser Daten – 56.000 Gigabyte – wurden laut eidesstattlichen Erklärungen des Bundes zur Identifizierung und Festnahme von Aufstandsteilnehmern verwendet, aber es gibt keinen positiven Beweis dafür, dass die Bundesbehörden die Datentranche von @donk_envy verwendet haben.
Aber wie wurde es gemacht? Frühe Spekulationen kursierten, dass @donk_enby oder ein anderer Hacker die Anmeldeinformationen des Parler-Administrators gestohlen haben könnte, was eine illegale Handlung wäre. Die akzeptierte Theorie ist, dass, da Das Startup gemeldet und mehrere Sicherheitsexperten haben stattdessen beschrieben, dass Parlers eigene API dagegen verwendet wurde, um die Daten der Website zu archivieren – und dies schnell.
Die Designer von Parler haben den Zugriff auf die API nicht eingeschränkt, indem sie eine Authentifizierung verlangten. Benutzer benötigten keine spezifischen Anmeldeinformationen, um auf die Daten im Backend zuzugreifen. Das ließ eine riesige Hintertür offen.
Die meisten Websites, die das grundlegende Sicherheitsprotokoll kennen, erlauben keinen Zugriff auf die API ohne eine Form der Benutzerauthentifizierung, um sicherzustellen, dass die Anfrage nicht bösartig ist. Wie The Startup betonte, sind zwei gängige Authentifizierungslösungen API-Schlüssel und Token, die beide einige gültige Anmeldeinformationen erfordern, die es der Website auch ermöglichen, zu wissen, wer auf die Daten zugreift.
Keine Authentifizierungsanforderung ließ eine Tür offen. Darüber hinaus haben sich die Designer von Parler nicht die Mühe gemacht, eine zweite Verteidigungsschicht in Form der Geschwindigkeitsbegrenzung hinzuzufügen – das heißt, anstatt eine Tür angelehnt oder geknackt zu lassen, stand die Tür weit offen.
Die Ratenbegrenzung begrenzt die Datenmenge, auf die ein Benutzer unabhängig von seinen Anmeldeinformationen zugreifen kann. Webbenutzer haben möglicherweise 429 Too Many Request-Fehlermeldungen in freier Wildbahn gesehen, was ein Zeichen dafür ist, dass zu oft geklopft oder versucht wurde, durch die Tür zu gehen. Auch das hatte Parler nicht, sodass @donk_enby nach Zugriff auf das ungesicherte Backend auch die Daten von Parler innerhalb von 48 Stunden archivieren konnte. (Seltsamerweise hat Amazon Web Service, wie The Startup betonte, eine grundlegende Firewall-Option, mit der sich Parler nicht zu beschäftigen schien.)
Schließlich ließ Parler auch Posts zu, von denen seine Benutzer glaubten, dass sie gelöscht wurden, um sowohl verfügbar als auch leicht zu finden, sobald sich jemand im Backend befand. Nach den tödlichen Unruhen ermutigten einige Parler-Benutzer, die sich der unzähligen im Internet verfügbaren Beweise bewusst waren, andere dazu, ihre Beiträge ab dem 6. Januar zu löschen.
Alle Beiträge von Parler erhielten fortlaufende Nummern, die um 1 erhöht wurden. Auch wenn diese Beiträge vom Benutzer gelöscht wurden, blieben sie im Backend. @donk_enby musste anscheinend nur ein sehr einfaches Skript schreiben, das jeden Beitrag einzeln fand und archivierte. Und da Parler sich nicht die Mühe machte, mit Geo-Tags versehene Daten aus Fotos und Videos und Posts zu entfernen, bevor sie hochgeladen wurden, warteten auch diese Informationen darauf, archiviert zu werden.
Es ist möglich, dass andere Websites, die WordPress oder eine andere Hosting-Software verwenden, ähnliche Sicherheitslücken aufweisen, aber sie sind möglicherweise auch nicht berüchtigt genug, um diese Sicherheitslücken in das Interesse von Vigilanten-Hackern zu bringen und somit verletzt zu werden.
Es ist nicht ungewöhnlich, dass Websites Sicherheitslücken aufweisen, manchmal schwerwiegende, die unbemerkt bleiben, weil sie nicht beliebt genug sind, um mehr als einfache, oft automatisierte Versuche zu zeichnen, sie zu kompromittieren, sagte Erich Kron, ein Sicherheitsexperte bei KnowBe4 , ein führendes Unternehmen für Sicherheitslösungen. Wenn die Site schnell populär wird, nehmen der Fokus und die Komplexität dieser Tests zu, was oft dazu führt, dass Schwachstellen entdeckt werden.
Ein aktuelles Beispiel für dieses Phänomen, sagte Kron, sei Zoom. Als die COVID-19-Pandemie dazu führte, dass alle Arbeiten aus der Ferne arbeiten, wurden die zuvor unentdeckten Sicherheitslücken von Zoom entdeckt, ausgenutzt und dann schnell gepatcht. Aber mit Parler, als Sicherheitsanbieter anfingen, ihren ehemaligen Client zu verlassen, wurde Parler zu einer Zeit verwundbar, als sie auch ein Ziel von Angreifern, Hacktivisten und anderen waren, fügte Kron hinzu.
Parler ist noch nicht ganz tot. Über das Wochenende, eine Version von Parler ist zurückgekehrt auf denselben Webservern, die andere Randseiten hosten, die Hassreden begrüßen. Ab Dienstagabend, Die Homepage der Website ist a technische Schwierigkeiten Landingpage; Site-Gründer John Matze sagte Fox News die Website soll bis Ende des Monats voll funktionsfähig sein (obwohl mobile Benutzer wahrscheinlich die webbasierte Version anstelle einer App verwenden werden). Und es gibt noch andere Heime für die Rechtsextremen im Internet – obwohl, wie Zolides betonte, auf freie Meinungsäußerung ausgerichtete Foren wie Gab proaktiver bei der Inhaltsmoderation waren als Parler.
Weitere Details darüber, wie @donk_enby auf Parlers Daten zugegriffen hat und ob die Theorie der offenen Tür genau das war, was passiert ist, könnten noch bekannt werden. (Und getrennt von der Frage der Cybersicherheit stehen Fragen der Ethik; Verletzung oder Hack, Parlers Benutzerdaten wurden immer noch gestohlen, wie Steinberg sagte, und ein Überfall ist nichts zu feiern.)
Angenommen, Parlers Daten wurden durch schlechtes Design aufgenommen, ist die Online-Geschichte vom 6. Januar vorerst eine von wiederholter Selbstbelastung: Unmaskierte Randalierer wandern durch das US-Kapitol, diskutieren fröhlich und offen über ihre vereitelten zusätzlichen Pläne und veröffentlichen belastende Beweise im Internet währenddessen auf eine Website, die nicht bereit war, diese Beweise anonym oder sicher aufzubewahren.
