Parler Twitter ฉ้อฉลที่ ทำหน้าที่เป็นเครื่องมือหลักในการจัดระเบียบสำหรับผู้คลั่งไคล้โดนัลด์ทรัมป์ ที่บุกโจมตีศาลากลางสหรัฐเมื่อวันที่ 6 ม.ค. ได้รับ ออฟไลน์เป็นส่วนใหญ่ นานกว่าหนึ่งสัปดาห์ แต่ถึงแม้ในแอนิเมชั่นที่ถูกระงับ บ้านออนไลน์ยอดนิยมสำหรับ QAnon, The Proud Boys และองค์ประกอบอื่นๆ ของฝ่ายขวาจัดของอเมริกาก็ยังคงสร้างปัญหาอยู่
การตัดสินใจของ Amazon, Apple และ Google ในการออกจากการโฮสต์ไซต์และห้ามไม่ให้ผู้ใช้อุปกรณ์เคลื่อนที่ดาวน์โหลดแอปทำให้เกิดการเซ็นเซอร์ Big Tech การแก้ไขครั้งแรกและการเมืองกฎระเบียบทางอินเทอร์เน็ต วิธีที่ Parler หลั่งไหลข้อมูลออกไปนอกประตูทำให้เกิดคำถามด้านความปลอดภัยทางไซเบอร์ที่ร้ายแรงรวมถึงความกังวลว่าผู้เล่นรายอื่นบนอินเทอร์เน็ตจะมีการละเมิดข้อมูลในอนาคตหรือไม่
แม้ว่าจะเป็นไปไม่ได้ที่จะตรวจสอบโดยไม่ได้แอบดู Parler's hood—งานตอนนี้เป็นไปไม่ได้เนื่องจากเว็บไซต์ออฟไลน์—การบรรยายที่แพร่หลายคือช่องโหว่ด้านความปลอดภัยของ Parler (หรือข้อบกพร่อง) อนุญาตให้แฮกเกอร์หมวกขาวดาวน์โหลดและเก็บข้อมูลผู้ใช้ของ Parler ทั้งหมดในไม่ช้า ก่อนที่ Amazon Web Services จะดึงปลั๊กที่โฮสต์ไซต์ ในบรรดาข้อมูลที่นำเสนอต่อสาธารณะ (และการบังคับใช้กฎหมาย) ในการเข้าถึงนั้น ในบางกรณี ข้อมูลตำแหน่งที่อาจถูกกล่าวหา
พูด พึ่ง Worpress ซึ่งเป็นระบบจัดการเนื้อหาที่ใช้มากที่สุดในโลก นั่นนำไปสู่การคาดเดาว่า WordPress เป็นส่วนหนึ่งของข้อบกพร่องและใครก็ตามที่ใช้ WordPress ตกอยู่ในอันตราย อย่างไรก็ตาม ตามมติทั่วไปของผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ซึ่งรวมถึงการติดต่อหลายครั้งสำหรับบทความนี้ การละเมิดข้อมูลของ Parler ไม่ได้เกิดขึ้นเพียงเพราะ Parler ใช้ WordPress ข้อมูลผู้ใช้ของ Parler รั่วไหลออกไปเนื่องจาก CEO John Matze และสถาปนิกของไซต์ได้ทิ้งข้อบกพร่องที่สำคัญใน Parler's API ซึ่งเป็นจุดเชื่อมโยงระหว่างส่วนหน้าของ Parler และข้อมูลผู้ใช้
ดูสิ่งนี้ด้วย: Elon Musk โทษ Facebook และ Mark Zuckerberg สำหรับ Capitol Riot
ความเชื่อที่โดดเด่นคือ Parler มีการออกแบบที่เร่งรีบและไม่ดี โดยได้รับแรงหนุนจากนักลงทุนที่เอนเอียงขวาให้กลายเป็นคนกลุ่มใหญ่ ก่อนที่พวกเขาจะสร้างรากฐานที่มั่นคงจริงๆ ในเชิงเทคโนโลยี แอนดรูว์ โซลิเดส ศาสตราจารย์ด้านการสื่อสารที่มหาวิทยาลัยซาเวียร์ซึ่งสอนหลักสูตรด้านการออกแบบดิจิทัลกล่าวกับ Braganca (ในหมู่นักลงทุนของ Parler เป็นมหาเศรษฐีปีกขวา Rebekah Mercer ซึ่งพยายามใช้ประโยชน์จากความโกรธของฝ่ายขวาที่ Twitter และ Facebook เพื่อเพิ่มจำนวนผู้ชมของ Parler)
แม้ว่าเว็บไซต์ใด ๆ จะมีข้อกังวลเรื่องความเป็นส่วนตัว แต่ดูเหมือนว่า Parler จะใหญ่เกินไป เร็วเกินไป และไม่มีความสามารถหรือความรู้ด้านเทคนิคในการเตรียมตัวจริงๆ Zolides กล่าวเสริม
ในการพัฒนาที่น่ายินดีสำหรับทุกคนที่กังวลเกี่ยวกับการไม่เปิดเผยตัวตนหรือความปลอดภัยโดยทั่วไป เว็บไซต์อื่น ๆ สามารถหลีกเลี่ยงกับดัก Parler ... หากพวกเขาไม่ใช่บริษัทที่เพิ่งเริ่มต้นใหม่และรายเล็กที่พยายามแข่งขันกับยักษ์ใหญ่ที่เป็นที่ยอมรับเช่น Twitter และ Facebook ซึ่งเป็นสิ่งที่ Parler ทำ .
ใช่ Parler อาจมีการออกแบบที่ดีกว่านี้ แต่พูดตามความเป็นจริง นี่เป็นปัญหาประเภทหนึ่งที่เกิดขึ้นเมื่อคุณกำลังแข่งขันกับบริษัทที่เติบโตเต็มที่ซึ่งลงทุนหลายพันล้านเหรียญสหรัฐในผลิตภัณฑ์ของตน โจเซฟ สไตน์เบิร์ก กล่าว ผู้เชี่ยวชาญด้านความปลอดภัยและผู้เขียน ความปลอดภัยทางไซเบอร์สำหรับ Dummies . คุณจะมีช่วงเวลาที่ยากลำบากในการออกแบบทุกสิ่งที่คุณต้องการอย่างปลอดภัย 
Google, Apple และ Amazon ได้ระงับ Parler แอพโซเชียลเน็ตเวิร์ก Parler ใช้งานไม่ได้ใน App Store, Google Play และ Amazon Web Services เนื่องจากมีรายงานว่าการควบคุมการโพสต์ของผู้ใช้ไม่เพียงพอซึ่งสนับสนุนความรุนแรงตามที่สื่อรายงานภาพประกอบโดย Pavlo Gonchar/SOPA Images/LightRocket ผ่าน Getty Images
ขั้นแรก วิธีการสำหรับแฮ็คที่ถูกกล่าวหา ก่อนที่ Parler จะถูกดึงออกจาก AWS ผู้ใช้ Twitter ที่มีชื่อ @donk_enby ได้ค้นพบวิธีดาวน์โหลดข้อมูลผู้ใช้ของเว็บไซต์ ซึ่งทั้งหมดนี้พร้อมกับหลักฐานสาธารณะอื่นๆ ของผู้ใช้ Parler ที่ละเมิดศาลากลาง ทำร้ายเจ้าหน้าที่ และวางแผนใช้ความรุนแรงเพิ่มเติม , ถูกกล่าวหาอย่างมาก, ตามที่ Gizmodo รายงาน .
@donk_enby ขัดขวางข้อมูลขนาด 56 เทราไบต์ในที่สุด: รูปภาพ วิดีโอ และข้อความโพสต์ ซึ่งหลายรายการมีข้อมูลเมตาของ GPS ที่ทำให้ผู้ใช้ Parler อยู่ในและรอบๆ Capitol เมื่อวันที่ 6 มกราคม รวมทั้งในพื้นที่ปลอดภัย อย่างน้อยบางส่วนของข้อมูลนี้—56,000 กิกะไบต์—ถูกใช้เพื่อระบุและจับกุมผู้เข้าร่วมการจลาจล ตามคำให้การเป็นลายลักษณ์อักษรของรัฐบาลกลาง แต่ไม่มีหลักฐานใดที่ยืนยันว่า feds ใช้ชุดข้อมูลของ @donk_envy
แต่มันทำได้อย่างไร? การเก็งกำไรในช่วงต้นฉวัดเฉวียนว่า @donk_enby หรือแฮ็กเกอร์คนอื่นอาจขโมยข้อมูลประจำตัวของผู้ดูแลระบบ Parler ซึ่งจะเป็นการกระทำที่ผิดกฎหมาย ทฤษฎีที่ยอมรับก็คือว่า as The Startup รายงาน และผู้เชี่ยวชาญด้านความปลอดภัยหลายคนได้สรุปไว้ แทนที่จะใช้ API ของ Parler ในการจัดเก็บข้อมูลของเว็บไซต์ และทำได้อย่างรวดเร็ว
นักออกแบบของ Parler ไม่ได้จำกัดการเข้าถึง API โดยกำหนดให้มีการตรวจสอบสิทธิ์ ผู้ใช้ไม่ต้องการข้อมูลประจำตัวเฉพาะเพื่อเข้าถึงข้อมูลที่ส่วนหลัง นั่นทำให้ประตูหลังขนาดใหญ่เปิดออก
เว็บไซต์ส่วนใหญ่ที่ทราบโปรโตคอลความปลอดภัยพื้นฐานจะไม่อนุญาตให้เข้าถึง API หากไม่มีการตรวจสอบสิทธิ์ผู้ใช้บางรูปแบบ เพื่อให้แน่ใจว่าคำขอจะไม่เป็นอันตราย ตามที่ The Startup ชี้ให้เห็น โซลูชันการตรวจสอบสิทธิ์ทั่วไปสองวิธีคือคีย์ API และโทเค็น ซึ่งทั้งสองอย่างนี้ต้องการข้อมูลรับรองที่ถูกต้องซึ่งอนุญาตให้เว็บไซต์รู้ว่าใครกำลังเข้าถึงข้อมูล
ไม่มีข้อกำหนดการตรวจสอบสิทธิ์ที่แง้มประตูไว้ ยิ่งไปกว่านั้น นักออกแบบของ Parler ไม่สนใจที่จะเพิ่มการป้องกันชั้นที่สองในลักษณะของการจำกัดอัตรา—หมายถึงแทนที่จะแง้มประตูหรือแตกทิ้งไว้ ประตูก็เปิดกว้าง
การจำกัดอัตราจะจำกัดจำนวนข้อมูลที่ผู้ใช้สามารถเข้าถึงได้โดยไม่คำนึงถึงข้อมูลประจำตัว ผู้ใช้เว็บอาจเห็นข้อความแสดงข้อผิดพลาด 429 Too Many Request ปรากฏขึ้นในป่า ซึ่งเป็นสัญญาณว่ามีการเคาะหรือพยายามผ่านประตูมากเกินไป Parler ไม่มีสิ่งนี้ ซึ่งหมายความว่าเมื่อเข้าถึงส่วนหลังที่ไม่ปลอดภัยแล้ว @donk_enby ก็สามารถเก็บข้อมูลของ Parler ได้ภายใน 48 ชั่วโมง (ผิดปกติพอที่ The Startup ชี้ให้เห็น Amazon Web Service มีตัวเลือกไฟร์วอลล์พื้นฐานที่ Parler ไม่ได้สนใจ)
ในที่สุด Parler ยังอนุญาตให้โพสต์ที่ผู้ใช้เชื่อว่าถูกลบเพื่อให้ใช้งานได้และค้นพบได้ง่ายเมื่อมีคนอยู่ในส่วนหลัง ภายหลังการจลาจลที่ร้ายแรง ผู้ใช้ Parler บางคนทราบถึงหลักฐานที่มีอยู่บนเว็บ จึงสนับสนุนให้ผู้อื่นลบโพสต์ของตนตั้งแต่วันที่ 6 มกราคม
โพสต์ทั้งหมดของ Parler มีหมายเลขเรียงตามลำดับซึ่งเพิ่มขึ้น 1 แม้ว่าผู้ใช้จะลบโพสต์เหล่านั้น โพสต์เหล่านั้นก็ยังอยู่ที่ส่วนหลัง @donk_enby เห็นได้ชัดว่าจำเป็นต้องเขียนเฉพาะสคริปต์พื้นฐานที่พบและเก็บถาวรแต่ละโพสต์ ทีละรายการ และเนื่องจาก Parler ไม่สนใจที่จะลบข้อมูลที่ติดแท็กตำแหน่งทางภูมิศาสตร์ออกจากรูปภาพและวิดีโอและโพสต์ก่อนที่จะอัปโหลด ข้อมูลนั้นจึงนั่งรอที่จะถูกเก็บไว้
เป็นไปได้ว่าเว็บไซต์อื่น ๆ ที่ใช้ WordPress หรือซอฟต์แวร์โฮสติ้งอื่น ๆ ทั้งหมดอาจมีข้อบกพร่องด้านความปลอดภัยที่คล้ายคลึงกัน แต่ก็อาจไม่มีชื่อเสียงพอที่จะทำให้ข้อบกพร่องด้านความปลอดภัยเหล่านั้นกลายเป็นความสนใจของแฮ็กเกอร์ศาลเตี้ยและถูกละเมิด
Erich Kron ผู้เชี่ยวชาญด้านความปลอดภัยกล่าวว่าไม่ใช่เรื่องแปลกที่เว็บไซต์จะมีข้อบกพร่องด้านความปลอดภัย ซึ่งบางครั้งก็มีนัยสำคัญ ซึ่งไม่มีใครสังเกตเห็น เนื่องจากไม่ได้รับความนิยมมากพอที่จะดึงข้อมูลมากกว่าความเรียบง่าย มักจะเป็นแบบอัตโนมัติ พยายามประนีประนอม KnowBe4 , บริษัทโซลูชั่นด้านความปลอดภัยที่โดดเด่น เมื่อไซต์ได้รับความนิยมอย่างรวดเร็ว จุดเน้นและความซับซ้อนของการทดสอบเหล่านี้จะเพิ่มขึ้น ซึ่งมักนำไปสู่การค้นพบช่องโหว่
ตัวอย่างล่าสุดของปรากฏการณ์นี้ Kron กล่าวคือซูม เมื่อการระบาดใหญ่ของ COVID-19 ทำให้การทำงานระยะไกลทั้งหมดทำงาน ข้อบกพร่องด้านความปลอดภัยที่ไม่เคยตรวจพบมาก่อนของ Zoom ถูกค้นพบ ใช้ประโยชน์ และทำการแก้ไขอย่างรวดเร็ว แต่สำหรับ Parler เมื่อผู้จำหน่ายระบบรักษาความปลอดภัยเริ่มละทิ้งลูกค้าเดิมของพวกเขา มันทำให้ Parler มีช่องโหว่ในเวลาที่พวกเขาตกเป็นเป้าหมายของผู้โจมตี นักแฮ็กข้อมูล และอื่นๆ ด้วย Kron กล่าวเสริม
Parler ยังไม่ตายเลย ในช่วงสุดสัปดาห์ Parler บางรุ่นกลับมา บนเว็บเซิร์ฟเวอร์เดียวกันกับที่โฮสต์เว็บไซต์อื่นๆ ที่ต้อนรับคำพูดแสดงความเกลียดชัง ในเย็นวันอังคาร หน้าแรกของเว็บไซต์คือ a หน้า Landing Page ของปัญหาทางเทคนิค ผู้ก่อตั้งเว็บไซต์ John Matze บอกกับ Fox News เว็บไซต์มีแผนจะใช้งานได้อย่างสมบูรณ์ภายในสิ้นเดือน (แม้ว่าผู้ใช้มือถือมักจะติดขัดโดยใช้เวอร์ชันบนเว็บแทนแอป) และมีบ้านอื่น ๆ สำหรับออนไลน์ที่อยู่ทางขวาสุด - แม้ว่า Zolides ชี้ให้เห็นว่าฟอรัมที่เน้นคำพูดฟรีเช่น Gab มีความกระตือรือร้นในการดูแลเนื้อหามากกว่า Parler
รายละเอียดเพิ่มเติมอาจปรากฏให้เห็นอย่างชัดเจนว่า @donk_enby เข้าถึงข้อมูลของ Parler ได้อย่างไร และทฤษฎีประตูเปิดเป็นสิ่งที่เกิดขึ้นจริงหรือไม่ (และการแยกจากคำถามด้านความปลอดภัยทางไซเบอร์คือประเด็นด้านจริยธรรม การละเมิดหรือการแฮ็ก ข้อมูลผู้ใช้ของ Parler ยังคงถูกขโมย ตามที่ Steinberg กล่าว และการปล้นก็ไม่มีอะไรต้องฉลอง)
สมมติว่าข้อมูลของ Parler เกิดจากการออกแบบที่ไม่ดี สำหรับตอนนี้ เรื่องราวออนไลน์ของวันที่ 6 มกราคมเป็นหนึ่งในการตำหนิตัวเองซ้ำแล้วซ้ำเล่า: ผู้ก่อการจลาจลที่ไม่สวมหน้ากากเดินไปที่ US Capitol พูดคุยอย่างสนุกสนานและเปิดเผยแผนการเพิ่มเติมที่ล้มเหลวของพวกเขา โพสต์หลักฐานที่กล่าวหาทางอินเทอร์เน็ต ในขณะที่ไปยังเว็บไซต์ที่ไม่ได้เตรียมที่จะเก็บหลักฐานนั้นไว้โดยไม่เปิดเผยตัวหรือปลอดภัย
