Principal Inovação Parler foi hackeado no WordPress, a maior plataforma da Internet. Todos estão em risco?

Parler foi hackeado no WordPress, a maior plataforma da Internet. Todos estão em risco?

Parler, o Twitter roubou isso serviu como uma das principais ferramentas de organização para os fanáticos de Donald Trump que invadiu o Capitólio dos EUA em 6 de janeiro, foi amplamente offline por mais de uma semana. Mas mesmo em animação suspensa, a casa online preferida para QAnon, os Proud Boys e outros elementos da extrema direita americana ainda está criando problemas.

As decisões da Amazon, Apple e Google de parar de hospedar o site e proibir os usuários móveis de baixar o aplicativo geraram gritos de censura da Big Tech. Deixando a Primeira Emenda e as políticas de regulamentação da Internet de lado, a maneira como Parler despejou dados em seu caminho para fora da porta levanta sérias questões de segurança cibernética, bem como preocupações sobre se outros jogadores na Internet terão violações de dados no futuro.

Embora seja impossível verificar sem espreitar por baixo do capô de Parler - uma tarefa agora impossível, pois o site está offline - a narrativa prevalecente é que uma falha de segurança de Parler (ou falhas) permitiu que um hacker de chapéu branco baixasse e arquivasse todos os dados de usuário de Parler em breve antes que a Amazon Web Services interrompesse a hospedagem do site. Entre os dados apresentados para o acesso do público (e das autoridades policiais) incluíam, em alguns casos, dados de localização potencialmente incriminadores.

Falar confiou na Worpress , o sistema de gerenciamento de conteúdo mais usado do mundo. Isso levou a especulações de que o WordPress era parte da falha e que qualquer outra pessoa que usasse o WordPress estava em perigo. Contudo, de acordo com um consenso geral de especialistas em segurança cibernética , incluindo vários contatados para este artigo, a violação de dados de Parler não aconteceu simplesmente porque Parler usou WordPress. Em vez disso, os dados do usuário de Parler vazaram porque o CEO John Matze e os arquitetos do site deixaram grandes falhas na API de Parler, o link entre o front-end de Parler e seus dados de usuário.

Veja também: Elon Musk culpa Facebook e Mark Zuckerberg pelo motim do Capitólio

A crença predominante é que Parler foi um design apressado e pobre impulsionado por investidores inclinados à direita para se tornar muito grande antes que eles realmente tivessem construído uma base sólida, tecnologicamente falando, Andrew Zolides , disse ao Braganca um professor de comunicação da Universidade Xavier que ministra cursos de design digital. (Entre os investidores de Parler são a bilionária de direita Rebekah Mercer , que tentou capitalizar a raiva da direita no Twitter e no Facebook para aumentar o público de Parler.)

Embora qualquer site tenha suas preocupações com a privacidade, Parler parece uma questão de ficar muito grande, muito rápido e não ter a capacidade ou o conhecimento técnico para realmente se preparar para isso, acrescentou Zolides.

Em um desenvolvimento bem-vindo para qualquer pessoa preocupada com anonimato ou segurança em geral, outros sites podem evitar a armadilha de Parler ... desde que não sejam relativamente novas e pequenas startups que tentam competir com gigantes estabelecidos como Twitter e Facebook, que é exatamente o que Parler fez .

Sim, Parler poderia ter sido melhor projetado, mas realisticamente falando, este é o tipo de problema que acontece quando você está competindo com empresas maduras que investiram bilhões e bilhões de dólares em seus produtos, disse Joseph Steinberg , um especialista em segurança e autor de Cibersegurança para leigos . Você terá dificuldade em projetar tudo o que deseja de maneira segura. Google, Apple e Amazon suspenderam o aplicativo de rede social Parler. Parler ficou indisponível na App Store, Google Play e Amazon Web Services, supostamente como dito controle insuficiente sobre as postagens de usuários que incentivavam a violência, segundo a mídia.Ilustração fotográfica de Pavlo Gonchar / SOPA Images / LightRocket via Getty Images



Primeiro, o método para o alegado hack. Antes de Parler ser retirado da AWS, um usuário do Twitter com o identificador @donk_enby descobriu como baixar os dados do usuário do site - todos os quais, junto com quaisquer outras evidências públicas de usuários de Parler violando o Capitol, agredindo policiais e planejando mais violência , foi potencialmente muito incriminador, como o Gizmodo relatou .

@donk_enby eventualmente conseguiu 56 terabytes de dados: fotos, vídeos e postagens de texto, muitos dos quais incluíam alguns metadados de GPS que colocaram positivamente os usuários Parler dentro e ao redor do Capitólio em 6 de janeiro, inclusive em áreas protegidas. Pelo menos alguns desses dados - 56.000 gigabytes - foram usados ​​para identificar e prender participantes do motim, de acordo com declarações federais, mas não há nenhuma prova positiva de que os federais usaram a tranche de dados de @ donk_envy.

Mas como isso foi feito? Especulações iniciais surgiram de que @donk_enby ou outro hacker pode ter roubado credenciais de administrador Parler, o que seria um ato ilegal. A teoria aceita é que, como The Startup relatado e vários especialistas em segurança descreveram, em vez disso, a própria API de Parler foi usada contra ele para arquivar os dados do site - e fazer isso rapidamente.

Os designers de Parler não restringiram o acesso à API exigindo autenticação. Os usuários não precisam de credenciais específicas para acessar os dados no back-end. Isso deixou uma enorme porta traseira aberta.

A maioria dos sites cientes do protocolo de segurança básico não permite o acesso à API sem alguma forma de autenticação do usuário para garantir que a solicitação não seja maliciosa. Como o The Startup apontou, duas soluções de autenticação comuns são chaves de API e tokens, ambos exigindo algumas credenciais válidas que também permitem que o site saiba quem está acessando os dados.

Nenhum requisito de autenticação deixou uma porta entreaberta. Além disso, os designers de Parler não se preocuparam em adicionar uma segunda camada de defesa na forma de limitação de taxa - ou seja, em vez de uma porta entreaberta ou deixada entreaberta, a porta estava totalmente aberta.

A limitação de taxa limita a quantidade de dados que um usuário pode acessar, independentemente das credenciais. Os usuários da Web podem ter visto 429 mensagens de erro de Solicitação em Excesso, o que é um sinal de que houve muitas batidas ou tentativas de passar pela porta. Parler também não tinha isso, o que significava que, uma vez que o back-end desprotegido foi acessado, @donk_enby também foi capaz de arquivar os dados de Parler em 48 horas. (Curiosamente, como The Startup apontou, Amazon Web Service tem uma opção de firewall básica com a qual Parler não pareceu se importar.)

Por fim, Parler também permitiu que as postagens que seus usuários acreditavam ter sido excluídas fiquem disponíveis e sejam facilmente descobertas assim que alguém estiver no backend. Após os tumultos mortais, alguns usuários de Parler, cientes da quantidade de evidências disponíveis na web, encorajaram outros a deletar suas postagens de 6 de janeiro.

Todas as postagens de Parler receberam números sequenciais que aumentaram em 1. Mesmo quando essas postagens foram excluídas pelo usuário, elas permaneceram no back end. @donk_enby aparentemente precisava escrever apenas um script muito básico que encontrasse e arquivasse cada postagem, uma por uma. E como Parler não se preocupou em remover dados geomarcados de fotos, vídeos e postagens antes de serem carregados, essas informações também estavam lá esperando para serem arquivadas.

É possível que outros sites que usam WordPress ou outro software de hospedagem possam ter falhas de segurança semelhantes, mas também podem não ser infames o suficiente para que essas falhas de segurança se tornem o interesse de hackers vigilantes e, portanto, sejam violadas.

Não é incomum que sites tenham falhas de segurança, às vezes significativas, que passam despercebidas porque não são populares o suficiente para desenhar mais do que simples, muitas vezes automatizadas, tentativas de comprometê-los, disse Erich Kron, especialista em segurança da KnowBe4 , uma importante empresa de soluções de segurança. Quando o site se torna popular rapidamente, o foco e a complexidade desses testes aumentam, geralmente levando à descoberta de vulnerabilidades.

Um exemplo recente desse fenômeno, disse Kron, foi o Zoom. Quando a pandemia COVID-19 fez todo o trabalho funcionar remotamente, as falhas de segurança anteriormente não detectadas do Zoom foram descobertas, exploradas e, em seguida, corrigidas rapidamente. Mas com Parler, quando os fornecedores de segurança começaram a abandonar seu antigo cliente, isso deixou Parler vulnerável em um momento em que eles também eram alvo de invasores, hacktivistas e outros, acrescentou Kron.

Parler ainda não morreu. No final de semana, alguma versão de Parler retornou nos mesmos servidores da web que hospedam outros sites marginais que dão boas-vindas a discurso de ódio Na terça à noite, a página inicial do site é um página de destino de dificuldades técnicas; fundador do site John Matze disse à Fox News o site planeja estar totalmente funcional até o final do mês (embora os usuários móveis provavelmente ficarão presos à versão baseada na web em vez de um aplicativo). E há outros lares para a extrema direita online - embora, como Zolides apontou, fóruns focados na liberdade de expressão, como Gab, tenham sido mais pró-ativos com moderação de conteúdo do que Parler.

Mais detalhes podem surgir sobre exatamente como @donk_enby acessou os dados de Parler e se a teoria das portas abertas foi exatamente o que aconteceu. (E distantes da questão da segurança cibernética estão as questões de ética; violação ou hack, os dados do usuário de Parler ainda foram roubados, como disse Steinberg, e um assalto não é nada para comemorar.)

Supondo que os dados de Parler tenham sido danificados por um projeto incorreto, por enquanto, a história online de 6 de janeiro é uma repetida autoincriminação: manifestantes desmascarados vagando pelo Capitólio dos Estados Unidos, discutindo alegremente e abertamente seus planos adicionais frustrados, postando evidências incriminatórias na Internet. ao mesmo tempo, a um site que não estava preparado para manter essas evidências anônimas ou seguras.



Artigos Interessantes