Parler, Twitter rip-off det fungerade som ett av de viktigaste organiseringsverktygen för Donald Trumps fanatiker som stormade den amerikanska huvudstaden den 6 januari har varit till stor del offline i mer än en vecka. Men även i avstängd animation skapar fortfarande det föredragna online-hemmet för QAnon, de stolta pojkarna och andra delar av den amerikanska högerextrem.
Beslut från Amazon, Apple och Google att sluta vara värd för webbplatsen och förbjuda mobilanvändare att ladda ner appen har utlöst rop från Big Tech-censur. Första ändringsförslaget och internetregleringspolitiken åt sidan, hur Parler sprutade data på väg ut genom dörren väcker allvarliga cybersäkerhetsfrågor samt oro över om andra spelare på internet har dataintrång i sin framtid.
Även om det är omöjligt att verifiera utan att kika under Parlers huva - en uppgift som nu är omöjlig eftersom webbplatsen är offline - är den rådande berättelsen att en Parlers säkerhetsfel (eller brister) gjorde det möjligt för en hackare att ladda ner och arkivera all Parlers användardata inom kort innan Amazon Web Services drog ur kontakten när det var värd för webbplatsen. Bland de uppgifter som presenterades för allmänheten (och brottsbekämpning) för åtkomst inkluderade i vissa fall potentiellt inkriminerande platsuppgifter.
Tala litade på Worpress , världens mest använda innehållshanteringssystem. Det har lett till spekulationer om att WordPress var en del av felet och att någon annan som använder WordPress var i fara. I alla fall, enligt en allmän konsensus av cybersäkerhetsexperter , inklusive flera kontaktade för den här artikeln, inträffade inte Parlers dataintrång bara för att Parler använde WordPress. Istället läckte Parlers användardata eftersom CEO John Matze och webbplatsens arkitekter lämnade stora brister i Parlers API, länken mellan Parlers front-end och dess användardata.
Se även: Elon Musk skyller på Facebook och Mark Zuckerberg för Capitol Riot
Den dominerande tron är att Parler var en bråttom, dålig design som uppfördes av högerlänade investerare för att bli ganska stor innan de verkligen hade byggt en solid grund, tekniskt sett, Andrew Zolides berättade en professor i kommunikation vid Xavier University som undervisar kurser i digital design till Braganca. (Bland Parlers investerare är den höger miljardären Rebekah Mercer , som försökte dra nytta av höger ilska mot Twitter och Facebook för att öka Parlers publik.)
Medan varje webbplats har sin integritetsfråga verkar Parler som en fråga om att bli för stor, för snabb och inte ha förmågan eller teknisk kunskap att faktiskt förbereda sig för det, tillade Zolides.
I en välkommen utveckling för alla som är oroliga för anonymitet eller säkerhet i allmänhet kan andra webbplatser undvika Parler-fällan ... förutsatt att de inte är relativt nya och små startups som försöker konkurrera med etablerade giganter som Twitter och Facebook, vilket är precis vad Parler gjorde .
Ja, Parler kunde ha utformats bättre, men realistiskt sett är detta den typ av problem som händer när du konkurrerar mot mogna företag som har investerat miljarder och miljarder dollar i sina produkter, sa Joseph Steinberg , en säkerhetsexpert och författare till Cybersäkerhet för dummies . Du kommer att ha svårt att utforma allt du vill på ett säkert sätt. 
Google, Apple och Amazon har avbrutit den sociala nätverksappen Parler. Parler blev otillgänglig i App Store, Google Play och Amazon Web Services, enligt uppgift som sagt otillräcklig kontroll över användarinlägg som uppmuntrade våld, enligt uppgift av media.Fotoillustration av Pavlo Gonchar / SOPA Images / LightRocket via Getty Images
Först metoden för det påstådda hacket. Innan Parler drogs från AWS, räknade en Twitter-användare med handtaget @donk_enby ut hur man laddade ner webbplatsens användardata - allt detta, tillsammans med alla andra mycket offentliga bevis för att Parler-användare bryter mot Capitol, attackerar officerare och planerar ytterligare våld , var potentiellt mycket inkriminerande, som Gizmodo rapporterade .
@donk_enby så småningom fängde 56 terabyte värde av data: foton, videor och textinlägg, varav många innehöll några GPS-metadata som positivt placerade Parler-användare i och runt Capitol den 6 januari, inklusive i säkra områden. Åtminstone en del av denna information - 56 000 gigabyte - har använts för att identifiera och gripa upploppsdeltagare, enligt federala förklaringar, men det finns inga bevis som är positiva för att fedsna använde @ donk_envy's datatransch.
Men hur gjordes det? Tidiga spekulationer surrade att @donk_enby eller en annan hacker kan ha stulit Parler-administratörsuppgifter, vilket skulle vara en olaglig handling. Den accepterade teorin är att, som Uppstarten rapporterad och flera säkerhetsexperter har skisserat, istället användes Parlers eget API mot det för att arkivera webbplatsens data - och för att göra det snabbt.
Parlers designers begränsade inte åtkomsten till API genom att kräva autentisering. Användare behövde inga specifika referenser för att få åtkomst till data på baksidan. Det lämnade en enorm bakdörr öppen.
De flesta webbplatser som känner till det grundläggande säkerhetsprotokollet tillåter inte åtkomst till API: t utan någon form av användarautentisering för att säkerställa att begäran inte är skadlig. Som The Startup påpekade är två vanliga autentiseringslösningar API-nycklar och tokens, som båda kräver några giltiga referenser som också tillåter webbplatsen att veta vem som får åtkomst till data.
Inget autentiseringskrav lämnade dörren på glänt. Utöver det brydde sig Parlers designers inte om att lägga till ett andra försvar i vägen för hastighetsbegränsning - vilket betyder att i stället för en dörr på glänt eller vänster knäckt var dörren vidöppen.
Hastighetsbegränsande gränser hur mycket data en användare kan komma åt oavsett referenser. Webbanvändare kan ha sett 429 för många begär felmeddelanden ute i naturen, vilket är ett tecken på att det har varit för många slag eller försök att passera genom dörren. Parler hade inte heller detta, vilket innebar att när den osäkra baksidan hade nåtts, kunde @donk_enby också arkivera Parlers data inom 48 timmar. (Konstigt nog har Amazon Web Service, som The Startup påpekade, ett grundläggande brandväggsalternativ som Parler inte tycktes bry sig om.)
Slutligen tillät Parler också inlägg som användarna trodde raderades vara både tillgängliga och lätt upptäckta när någon var i bakänden. I efterdyningarna av de dödliga upploppen uppmuntrade vissa Parler-användare, medvetna om de bevis som finns tillgängliga på webben, andra att radera sina inlägg från den 6 januari.
Alla Parlers inlägg fick löpnummer som ökade med 1. Även när dessa inlägg raderades av användaren förblev de på baksidan. @donk_enby behövde tydligen bara skriva ett mycket grundläggande manus som hittade och arkiverade varje inlägg, en efter en. Och eftersom Parler inte brydde sig om att ta bort geomärkta data från foton och videor och inlägg innan de laddades upp, så satt den informationen också där och väntade på att arkiveras.
Det är möjligt att andra webbplatser som använder WordPress eller annan värdprogramvara helt kan ha liknande säkerhetsfel, men de kanske inte heller är ökända för att säkerhetsbristerna ska bli intressanta för vaksamma hackare och därmed brytas.
Det är inte ovanligt att webbplatser har säkerhetsfel, ibland betydande, som går obemärkt för att de inte är tillräckligt populära för att dra mer än enkla, ofta automatiserade, försök att kompromissa med dem, säger Erich Kron, en säkerhetsexpert med KnowBe4 , ett framstående säkerhetslösningsföretag. När webbplatsen snabbt blir populär ökar fokus och komplexitet i dessa tester, vilket ofta leder till att sårbarheter upptäcks.
Ett nytt exempel på detta fenomen, sade Kron, var Zoom. När COVID-19-pandemin fick allt att fungera fjärrarbete upptäcktes, upptäcktes, utnyttjades och sedan lappades Zooms tidigare oupptäckta säkerhetsfel. Men med Parler, när säkerhetsleverantörer började dike sin tidigare klient, lämnade det Parler sårbart samtidigt som de också var ett mål för angripare, hacktivister och andra, tillade Kron.
Parler är ännu inte död. Över helgen, någon version av Parler återvände på samma webbservrar som är värd för andra sidor som välkomnar hatprat. Från och med tisdagskvällen webbplatsens hemsida är en tekniska svårigheter målsida; webbplats grundare John Matze berättade Fox News webbplatsen planerar att vara helt funktionell i slutet av månaden (även om mobilanvändare sannolikt kommer att fastna med den webbaserade versionen istället för en app). Och det finns andra hem för högernätet på nätet, men som Zolides påpekade har yttrandefokuserade forum som Gab varit mer proaktiva med innehållsmoderering än Parler.
Mer information kan ännu dyka upp om exakt hur @donk_enby fick tillgång till Parlers data och om den öppna dörrteorin var exakt vad som hände. (Och stående åtskilt från cybersäkerhetsfrågan är frågor om etik; intrång eller hack, Parlers användardata stulits fortfarande, som Steinberg sa, och en heist är inget att fira.)
Förutsatt att Parlers data gjordes av dålig design, för tillfället är onlineberättelsen den 6 januari en av upprepad självinkriminering: omaskade upploppsmän som vandrar i USA: s Capitol, diskuterar glatt och öppet sina tillbakadragna ytterligare planer, publicerar inkriminerande bevis på internet allt samtidigt, till en webbplats som inte var beredd att hålla detta bevis anonymt eller säkert.
![5 bästa madrasser för minneskum [2021 recensioner]](https://newbornsplanet.com/img/lifestyle/12/5-best-memory-foam-mattresses.jpg)
