パーラー、ツイッターはそれをはぎ取った ドナルドトランプ狂信者のための主要な組織化ツールの1つとして役立った 1月6日に米国議会議事堂を襲撃したのは 主にオフライン 一週間以上。しかし、中断されたアニメーションでも、QAnon、Proud Boys、およびアメリカの極右の他の要素に好まれるオンラインホームは依然として問題を引き起こしています。
アマゾン、アップル、グーグルがサイトのホスティングをやめ、モバイルユーザーがアプリをダウンロードすることを禁止するという決定は、ビッグテックの検閲の叫びを引き起こしました。憲法修正第1条とインターネット規制の政治はさておき、パーラーがドアから出て行く途中でデータを噴出する方法は、深刻なサイバーセキュリティの問題を提起するだけでなく、インターネット上の他のプレーヤーが将来データ侵害を起こすかどうかについての懸念を引き起こします。
パーラーの内部を覗かずに確認することは不可能ですが(ウェブサイトがオフラインであるため現在は不可能です)、一般的な説明では、パーラーのセキュリティ上の欠陥により、ホワイトハットハッカーがパーラーのすべてのユーザーデータをすぐにダウンロードしてアーカイブすることができました。アマゾンウェブサービスがサイトのホスティングのプラグを抜く前。公衆(および法執行機関)がアクセスするために提示されたデータの中には、場合によっては、潜在的に犯罪となる位置データが含まれていました。
話す Worpressに依存していました 、世界で最も使用されているコンテンツ管理システム。そのため、WordPressは欠陥の一部であり、WordPressを使用している他の人は危険にさらされているという憶測が飛び交っています。しかしながら、 サイバーセキュリティ専門家の一般的なコンセンサスによると 、この記事に関する連絡先を含め、ParlerがWordPressを使用したという理由だけで、Parlerのデータ侵害は発生しませんでした。代わりに、CEOのJohn MatzeとサイトのアーキテクトがParlerのフロントエンドとそのユーザーデータ間のリンクであるParlerのAPIに大きな欠陥を残したため、Parlerのユーザーデータが漏洩しました。
関連項目: イーロン・マスクがフェイスブックとマーク・ザッカーバーグを国会議事堂の暴動で非難
主な信念は、パーラーは、技術的に言えば、彼らが実際に強固な基盤を構築する前に、右翼の投資家によってかなり大きくなることに後押しされた、急いで貧弱なデザインであったということです。 アンドリュー・ゾリデス 、デジタルデザインのコースを教えているザビエル大学のコミュニケーションの教授はオブザーバーに語った。 (パーラーの投資家の間で 右翼の億万長者レベッカ・マーサーです 、ツイッターとフェイスブックで右翼の怒りを利用してパーラーの聴衆を増やしようとした。)
どのウェブサイトにもプライバシーの懸念がありますが、Parlerは大きくなりすぎ、速すぎて、実際にそれに備える能力や技術的ノウハウがないという問題のようです、とZolides氏は付け加えました。
匿名性やセキュリティ全般を懸念する人にとっては歓迎すべき展開ですが、他のWebサイトはParlerの罠を回避できます…ただし、TwitterやFacebookなどの確立された巨人と競争しようとする比較的新しくて小さなスタートアップでなければ、まさにParlerがやったことです。 。
はい、Parlerはより適切に設計されている可能性がありますが、現実的に言えば、これは、製品に数十億ドルを投資している成熟した企業と競争するときに発生する種類の問題です。 ジョセフスタインバーグは言った 、セキュリティの専門家であり、 ダミーのためのサイバーセキュリティ 。安全な方法で必要なものすべてを設計するのに苦労するでしょう。 
グーグル、アップル、アマゾンはソーシャルネットワーキングアプリパーラーを一時停止しました。伝えられるところによると、メディアによると、暴力を助長するユーザー投稿に対する制御が不十分であるとのことで、パーラーはApp Store、Google Play、Amazon WebServicesで利用できなくなりました。ゲッティイメージズ経由のパブロゴンチャー/ SOPAイメージズ/ライトロケットによる写真イラスト
まず、疑惑のハッキングの方法。パーラーがAWSからヤンクされる前に、ハンドル@donk_enbyを持つTwitterユーザーは、ウェブサイトのユーザーデータをダウンロードする方法を考え出しました。これらはすべて、パーラーユーザーが国会議事堂に違反し、役員を攻撃し、さらなる暴力を企てているという他の非常に公開された証拠とともに、 、潜在的に非常に有罪でした、 ギズモードが報告したように 。
@donk_enbyは、最終的に56テラバイト相当のデータ(写真、ビデオ、テキスト投稿)を取得しました。その多くには、1月6日に国会議事堂とその周辺(安全な場所を含む)にParlerユーザーを積極的に配置するGPSメタデータが含まれていました。連邦宣誓供述書によると、このデータの少なくとも一部(56,000ギガバイト)は暴動の参加者を特定して把握するために使用されていますが、連邦政府が@donk_envyのデータトランシェを使用したことを示す証拠はありません。
しかし、それはどのように行われたのでしょうか?初期の憶測は、@ donk_enbyまたは別のハッカーがParler管理者の資格情報を盗んだ可能性があることを騒がせました。これは違法行為です。受け入れられている理論は、 スタートアップ 報告 代わりに、いくつかのセキュリティ専門家が、ウェブサイトのデータをアーカイブするために、そしてそれを迅速に行うために、Parler独自のAPIがそれに対して使用されたと概説しています。
Parlerの設計者は、認証を要求することでAPIへのアクセスを制限しませんでした。ユーザーは、バックエンドのデータにアクセスするために特定の資格情報を必要としませんでした。それは巨大な裏口を開いたままにしました。
基本的なセキュリティプロトコルを認識しているほとんどのウェブサイトは、リクエストが悪意のないものでないことを確認するために、何らかの形式のユーザー認証なしでAPIへのアクセスを許可していません。スタートアップが指摘したように、2つの一般的な認証ソリューションはAPIキーとトークンであり、どちらも有効な認証情報を必要とします。これにより、ウェブサイトは誰がデータにアクセスしているかを知ることができます。
認証要件はドアを半開きにしませんでした。その上、Parlerの設計者は、レート制限の方法で2番目の防御層を追加することを気にしませんでした。つまり、ドアが半開きになったり、ひびが入ったままになったりする代わりに、ドアが大きく開いていました。
レート制限は、資格情報に関係なく、ユーザーがアクセスできるデータの量を制限します。 Webユーザーは、429 Too Many Requestエラーメッセージを実際に目にしたことがあるかもしれません。これは、ノックやドアを通過しようとする試みが多すぎることを示しています。 Parlerにもこれがありませんでした。つまり、セキュリティで保護されていないバックエンドにアクセスすると、@ donk_enbyは48時間以内にParlerのデータをアーカイブすることもできました。 (奇妙なことに、スタートアップが指摘したように、アマゾンウェブサービスには、パーラーが気にしないように思われる基本的なファイアウォールオプションがあります。)
最後に、Parlerは、ユーザーが削除されたと思われる投稿を利用可能にし、誰かがバックエンドに入ると簡単に発見できるようにしました。致命的な暴動の余波で、一部のパーラーユーザーは、ウェブ上で利用可能な証拠の連なりを知って、1月6日から自分の投稿を削除するように他の人に勧めました。
Parlerのすべての投稿には、1ずつ増加する連番が付けられました。これらの投稿がユーザーによって削除されても、バックエンドに残りました。 @donk_enbyは、各投稿を1つずつ見つけてアーカイブする非常に基本的なスクリプトのみを作成する必要があるようです。また、Parlerは、アップロードする前に写真、ビデオ、投稿からジオタグ付きデータをわざわざ削除しなかったため、その情報もアーカイブされるのを待っていました。
WordPressまたは他のホスティングソフトウェアを完全に使用する他のWebサイトにも同様のセキュリティ上の欠陥がある可能性がありますが、それらのセキュリティ上の欠陥が自警ハッカーの関心事になり、侵害されるほど悪名高いわけではない可能性もあります。
セキュリティの専門家であるErichKron氏は、Webサイトにセキュリティ上の欠陥があり、場合によっては重大な欠陥があることも珍しくありません。 KnowBe4 、著名なセキュリティソリューション会社。サイトがすぐに人気になると、これらのテストの焦点と複雑さが増し、脆弱性が発見されることがよくあります。
この現象の最近の例の1つは、ズームであるとクロン氏は述べています。 COVID-19のパンデミックによりすべての作業がリモート作業になったとき、Zoomのこれまで検出されていなかったセキュリティ上の欠陥が発見され、悪用され、すぐにパッチが適用されました。しかし、Parlerの場合、セキュリティベンダーがかつてのクライアントを捨て始めたとき、攻撃者やハクティビストなどの標的でもあったときに、Parlerは脆弱なままになりました。
パーラーはまだ死んでいません。週末に、 パーラーのいくつかのバージョンが返されました ヘイトスピーチを歓迎する他のフリンジサイトをホストしているのと同じWebサーバー上。火曜日の夕方現在、 サイトのホームページは 技術的な問題のランディングページ。サイト創設者のジョン・メイツ フォックスニュースに語った ウェブサイトは月末までに完全に機能する予定です(ただし、モバイルユーザーはアプリの代わりにウェブベースのバージョンを使用して立ち往生する可能性があります)。また、オンラインの極右には他にもホームがあります。ただし、Zolidesが指摘したように、Gabのような言論の自由に焦点を当てたフォーラムは、Parlerよりもコンテンツのモデレーションに積極的です。
@donk_enbyがParlerのデータにアクセスした正確な方法と、オープンドア理論がまさに起こったことであったかどうかについては、さらに詳細が明らかになる可能性があります。 (そして、サイバーセキュリティの質問とは別に立っているのは倫理の問題です。Steinbergが言ったように、違反やハッキング、Parlerのユーザーデータはまだ盗まれており、強盗は祝うものではありません。)
パーラーのデータが悪い設計によって行われたと仮定すると、今のところ、1月6日のオンラインストーリーは繰り返される自己負罪の1つです:米国議会議事堂をさまようマスクされていない暴動者は、失敗した追加計画について喜んで率直に話し合い、犯罪の証拠をインターネットに投稿しますその間、その証拠を匿名または安全に保つ準備ができていなかったWebサイトに。
