פארלר, הטוויטר מבטל את זה שימש כאחד מכלי ההתארגנות העיקריים לפנאטים של דונלד טראמפ שהסתער על קפיטול ארה'ב ב -6 בינואר, היה בעיקר לא מקוון במשך יותר משבוע. אבל גם באנימציה מושעה, הבית המקוון המועדף על QAnon, The Proud Boys וגורמים אחרים של הימין הקיצוני האמריקאי עדיין יוצר צרות.
החלטות של אמזון, אפל וגוגל להפסיק לארח את האתר ולאסור על משתמשים ניידים להוריד את האפליקציה עוררו קריאות של צנזורה של ביג טק. מלבד התיקון הראשון והפוליטיקה בנושא הרגולציה באינטרנט, הדרך בה פרלר זינק נתונים ביציאה מהדלת מעלה שאלות קשות בנושא אבטחת סייבר, כמו גם דאגות האם לשחקנים אחרים באינטרנט יש הפרות נתונים בעתידם.
למרות שאי אפשר לוודא מבלי להציץ מתחת למכסה המנוע של פארלר - משימה שאינה אפשרית כעת מאחר והאתר לא מקוון - הנרטיב הרווח הוא שפגם אבטחה (או פגמים) של פרלר איפשר להאקר עם כובע לבן להוריד את כל נתוני המשתמשים של פארלר ולהעבירו לארכיון תוך זמן קצר. לפני ששירותי האינטרנט של אמזון משכו את התקע בהנחיית האתר. בין הנתונים שהוצגו לציבור (ואכיפת החוק) לגישה כללו, בחלק מהמקרים, נתוני מיקום שעלולים להפליל.
לְדַבֵּר סמך על וורפרס , מערכת ניהול התוכן הנפוצה ביותר בעולם. זה הביא לשערות שוורדפרס הייתה חלק מהפגם ושכל אחד אחר המשתמש בוורדפרס נמצא בסכנה. למרות זאת, על פי הסכמה כללית של מומחי אבטחה ברשת , כולל כמה שיצרו קשר למאמר זה, הפרת הנתונים של פארלר לא התרחשה פשוט בגלל שפרלר השתמש ב- WordPress. במקום זאת, נתוני המשתמשים של פארלר דלפו מכיוון שהמנכ'ל ג'ון מאץ 'ואדריכלי האתר הותירו פגמים גדולים בממשק ה- API של פרלר, הקשר בין חזיתו של פרלר לנתוני המשתמשים בו.
ראה גם: אילון מאסק מאשים את פייסבוק ואת מארק צוקרברג בפרעות הקפיטול
האמונה השלטת היא שפרלר היה עיצוב ממהר, גרוע שהונפק על ידי משקיעים נוטים ימינה ויהפוך למדי גדול לפני שהם באמת בנו בסיס איתן מבחינה טכנולוגית, אנדרו זולידס אמר פרופסור לתקשורת באוניברסיטת קסבייר המלמד קורסים בעיצוב דיגיטלי ל- Braganca. (בין המשקיעים של פארלר הם המיליארדר הימני רבקה מרסר , שניסו לנצל את הכעס הימני על טוויטר ופייסבוק כדי להגדיל את הקהל של פארלר.)
אף על פי שלכל אתר יש את חששות הפרטיות שלו, Parler נראה כמו נושא של להיות גדול מדי, מהר מדי ואין לו את היכולת או הידע הטכני להתכונן לכך בפועל, הוסיף זולידס.
בהתפתחות מבורכת לכל מי שחושש מאנונימיות או אבטחה באופן כללי, אתרים אחרים יכולים להימנע ממלכודת פארלר ... בתנאי שהם אינם סטארט-אפים חדשים יחסית וקטנים המנסים להתחרות בענקים מבוססים כמו טוויטר ופייסבוק, וזה בדיוק מה שעשה פרלר. .
כן, היה אפשר לעצב את פארלר בצורה טובה יותר, אך באופן מציאותי, זו סוג הבעיה שקורה כשמתחרים מול חברות בוגרות שהשקיעו מיליארדי ומיליארדי דולרים במוצריהן. אמר יוסף שטיינברג , מומחה אבטחה ומחבר של אבטחת סייבר עבור Dummies . יהיה לך קשה לעצב את כל מה שאתה רוצה בצורה מאובטחת. 
גוגל, אפל ואמזון השעו את אפליקציית הרשתות החברתיות Parler. פרלר לא היה זמין בחנות האפליקציות, גוגל פליי ושירותי האינטרנט של אמזון, על פי הדיווחים כאמור, שליטה מספקת בפוסטים של משתמשים שעודדו אלימות, על פי הדיווחים על ידי מדיה.איור תמונות מאת פבלו גונצ'ר / SOPA Images / LightRocket באמצעות Getty Images
ראשית, השיטה לפריצה לכאורה. לפני שנשלח מפארלר מ- AWS, משתמש בטוויטר עם הידית @donk_enby הבין כיצד ניתן להוריד את נתוני המשתמשים באתר - כל אלה, יחד עם כל עדות פומבית אחרת של משתמשי פרלר שהפרו את הקפיטול, תקפו שוטרים ותכננו אלימות נוספת. , היה מאוד מפליל, כפי שדיווח Gizmodo .
בסופו של דבר @donk_enby חטפה נתונים של 56 טרה-בייט: תמונות, קטעי וידאו ופוסטים, שרבים מהם כללו כמה מטא-נתונים של GPS שהכניסו את משתמשי Parler באופן חיובי לקפיטול ובסביבתה ב -6 בינואר, כולל באזורים מאובטחים. לפחות חלק מהנתונים הללו - 56,000 גיגה-בייט - שימשו לזיהוי ותפיסת משתתפים בהתפרעות, על פי תצהירים פדרליים, אך אין הוכחה חיובית לכך שה- feds השתמשו במנת הנתונים של @ donk_envy.
אבל איך זה נעשה? ספקולציות מוקדמות זמזו ש- @donk_enby או האקר אחר אולי גנבו אישורי מנהל של Parler, וזה יהיה מעשה לא חוקי. התיאוריה המקובלת היא שכאשר הסטארט-אפ דיווח וכמה מומחי אבטחה תיארו, במקום זאת, ממשק ה- API של פארלר עצמו שימש נגדו לארכיון נתוני האתר - ולעשות זאת במהירות.
המעצבים של פארלר לא הגבילו את הגישה ל- API בכך שהם דרשו אימות. משתמשים לא היו זקוקים לאישורים ספציפיים כדי לגשת לנתונים בקצה האחורי. זה הותיר דלת אחורית עצומה פתוחה.
רוב האתרים המודעים לפרוטוקול האבטחה הבסיסי אינם מאפשרים גישה לממשק ה- API ללא אימות משתמש כלשהו כדי להבטיח שהבקשה אינה זדונית. כפי שציין The Startup, שני פתרונות אימות נפוצים הם מפתחות API ואסימונים, שניהם דורשים כמה אישורים תקפים המאפשרים גם לאתר לדעת מי ניגש לנתונים.
שום דרישת אימות לא הותירה דלת פתוחה. נוסף על כך, מעצביו של פרלר לא טרחו להוסיף שכבת הגנה שנייה בדרך של הגבלת קצב - כלומר במקום דלת פתוחה או שנשארה סדוקה, הדלת הייתה פתוחה לרווחה.
מגבלת תעריף מכסה כמה נתונים המשתמש יכול לגשת ללא קשר לתעודות. ייתכן שמשתמשי הרשת ראו 429 יותר מדי בקשות של הודעות שגיאה בטבע, וזה סימן שהיו יותר מדי דפיקות או ניסיונות לעבור דרך הדלת. גם לפארלר לא היה את זה, מה שאומר שברגע שניגש אל החלק האחורי הלא מאובטח, @donk_enby הצליחה לאחסן את הנתונים של פארלר גם בתוך 48 שעות. (באופן מוזר, כפי שציין The Startup, לשירות האינטרנט של אמזון יש אפשרות חומת אש בסיסית שנדמה שפרלר לא התעסק בה).
לבסוף, פארלר גם אפשרה לפוסטים שהמשתמשים שלה האמינו שנמחקו להיות זמינים ולגלות בקלות ברגע שמישהו נמצא בקצה האחורי. בעקבות המהומות הקטלניות, חלק ממשתמשי פארלר, שהיו מודעים לקורות הראיות הקיימים באינטרנט, עודדו אחרים למחוק את הודעותיהם החל מ- 6 בינואר.
כל הפוסטים של פארלר קיבלו מספרים עוקבים שעלו ב- 1. גם כאשר אותם הודעות נמחקו על ידי המשתמש, הם נותרו בקצה האחורי. @donk_enby כנראה היה צריך לכתוב רק תסריט בסיסי מאוד שמצא וגנז כל פוסט, אחד אחד. ומכיוון שפרלר לא טרח להסיר נתונים מתויגים גיאוגרפיים מתמונות וסרטונים ופוסטים לפני העלאתם, המידע הזה ישב שם גם וחיכה לארכיון.
יתכן שלאתרים אחרים המשתמשים בוורדפרס או בתוכנות אירוח אחרות לגמרי עשויים להיות פגמי אבטחה דומים, אך יתכן שהם לא יהיו ידועים לשמצה בכדי שפגמי האבטחה הללו יהפכו לאינטרס של האקרים ערניים וכך יופרו.
לא נדיר שבאתרים יש ליקויי אבטחה, לעיתים משמעותיים, שלא נבחנים מכיוון שהם אינם פופולריים מספיק כדי לצייר יותר מאשר ניסיונות פשוטים, לעתים קרובות אוטומטיים, לפגוע בהם, אמר אריך קרון, מומחה אבטחה עם KnowBe4 , חברת פתרונות אבטחה בולטת. כאשר האתר הופך פופולרי במהירות, המיקוד והמורכבות של בדיקות אלו גוברות, ולעתים קרובות מובילות להתגלות פגיעות.
אחת הדוגמאות האחרונות לתופעה זו, אמר קרון, הייתה זום. כאשר מגפת ה- COVID-19 גרמה לכל עבודה לעבוד מרחוק, ליקויי האבטחה שטרם זוהו של זום התגלו, נוצלו ואז תוקנו במהירות. אך עם פארלר, כאשר ספקי האבטחה החלו לזרוק את לקוחם לשעבר, הדבר הותיר את פרלר פגיע באותה תקופה שהם גם היו מטרה של תוקפים, האקטיוויסטים ואחרים, הוסיף קרון.
פארלר עדיין לא מת. בסוף השבוע, גרסה כלשהי של פארלר חזרה באותם שרתי אינטרנט שמארחים אתרי שוליים אחרים שמקבלים בברכה דברי שטנה. החל מיום שלישי בערב, דף הבית של האתר הוא דף נחיתה בקשיים טכניים; מייסד האתר ג'ון מאץ ' אמר לפוקס ניוז האתר מתכנן להיות פונקציונלי לחלוטין עד סוף החודש (אם כי משתמשי המובייל ככל הנראה יתקעו באמצעות הגרסה מבוססת האינטרנט במקום אפליקציה). ויש בתים אחרים לימין הקיצוני המקוון - אם כי, כפי שציין זולידס, פורומים הממוקדים בחופש הדיבור כמו גב היו פעילים יותר עם התמתנות תוכן מאשר פארלר.
פרטים נוספים עשויים עדיין להתגלות כיצד בדיוק @donk_enby ניגשה לנתוני פארלר והאם תיאוריית הדלת הפתוחה הייתה בדיוק מה שקרה. (ועומדים בנפרד משאלת אבטחת הסייבר הם נושאי אתיקה; הפרה או פריצה, נתוני המשתמשים של פארלר עדיין נגנבו, כפי שאמר שטיינברג, ושוד אינו דבר לחגוג.)
בהנחה שנתוניו של פארלר נעשו על ידי תכנון רע, לעת עתה, הסיפור המקוון של 6 בינואר הוא אחד מהפללות עצמיות חוזרות ונשנות: פורעים חסרי מסיכה משוטטים בקפיטול האמריקנית, דנים בשמחה ובגלוי בתוכניות הנוספות המסוכלות שלהם, ומציגים עדויות מפלילות לאינטרנט הכל בזמן, לאתר שלא היה מוכן לשמור על ראיות אלה אנונימיות או מאובטחות.
