Parler, 트위터는 도널드 트럼프 광신자들을위한 주요 조직 도구 중 하나였습니다. 1 월 6 일 미국 국회 의사당을 습격 한 사람은 대부분 오프라인 일주일 이상. 그러나 정지 된 애니메이션에서도 QAnon, Proud Boys 및 기타 미국 극우의 요소가 선호하는 온라인 홈은 여전히 문제를 일으키고 있습니다.
Amazon, Apple 및 Google이 사이트 호스팅을 중단하고 모바일 사용자가 앱을 다운로드하는 것을 금지하기로 결정함에 따라 Big Tech 검열의 외침이 촉발되었습니다. 1 차 수정안과 인터넷 규제 정책은 제쳐두고, Parler가 데이터를 유출하는 방식은 심각한 사이버 보안 문제를 제기 할뿐만 아니라 인터넷의 다른 플레이어가 미래에 데이터 침해를 당할 것인지에 대한 우려를 불러 일으 킵니다.
Parler의 내부를 들여다 보지 않고 확인할 수는 없지만 (웹 사이트가 오프라인 상태이므로 이제는 불가능한 작업입니다.) Parler 보안 결함 (또는 결함)으로 인해 화이트 햇 해커가 Parler의 모든 사용자 데이터를 곧 다운로드하고 보관할 수 있다는 것이 일반적인 이야기입니다. Amazon Web Services가 사이트 호스팅에 플러그를 뽑기 전에. 대중 (및 법 집행 기관)이 액세스 할 수 있도록 제시된 데이터 중 일부 경우 잠재적으로 유죄가되는 위치 데이터가 포함되었습니다.
말하다 Worpress에 의존 , 세계에서 가장 많이 사용되는 콘텐츠 관리 시스템입니다. 이는 워드 프레스가 결함의 일부이며 워드 프레스를 사용하는 다른 사람이 위험에 처해 있다는 추측으로 이어졌습니다. 하나, 사이버 보안 전문가의 일반적인 합의에 따르면 을 포함하여이 기사를 위해 연락 한 여러 건을 포함하여 Parler의 데이터 유출은 단순히 Parler가 WordPress를 사용했기 때문에 발생하지 않았습니다. 대신 CEO John Matze와 사이트 설계자가 Parler의 프런트 엔드와 사용자 데이터 사이의 연결 고리 인 Parler의 API에 중대한 결함을 남겼 기 때문에 Parler의 사용자 데이터가 유출되었습니다.
또한보십시오: 엘론 머스크, 페이스 북과 마크 주커 버그를 국회 의사당 폭동으로 비난
지배적 인 믿음은 Parler가 기술적으로 말해서 견고한 기반을 구축하기 전에 상당히 커지기 위해 우익 적 투자자들에 의해 부양 된 서두르고 형편없는 디자인이라는 것입니다. 앤드류 졸리 데스 디지털 디자인 과정을 가르치는 Xavier University의 커뮤니케이션 교수는 Braganca에 말했다. (Parler의 투자자 중 우익 억만 장자 Rebekah Mercer , 그는 Parler의 잠재 고객을 늘리기 위해 Twitter와 Facebook의 우익 분노를 활용하려고했습니다.)
모든 웹 사이트가 개인 정보 보호 문제를 가지고 있지만 Parler는 너무 커지고 너무 빨라지고 실제로이를 준비 할 수있는 능력이나 기술적 인 노하우가없는 문제처럼 보인다고 Zolides는 덧붙였습니다.
일반적으로 익명 성 또는 보안에 대해 우려하는 모든 사람들을위한 환영하는 개발에서 다른 웹 사이트는 Parler 함정을 피할 수 있습니다. Twitter 및 Facebook과 같은 기존 거대 기업과 경쟁하려고하는 비교적 새롭고 작은 스타트 업이 아니라면 Parler가 한 일입니다. .
예, Parler는 더 잘 설계되었을 수 있지만 현실적으로 말하면 제품에 수십억 달러를 투자 한 성숙한 회사와 경쟁 할 때 발생하는 문제입니다. Joseph Steinberg가 말했다 , 보안 전문가이자 저자 입문자를위한 사이버 보안 . 원하는 모든 것을 안전한 방식으로 디자인하는 데 어려움을 겪을 것입니다. 
구글, 애플, 아마존은 소셜 네트워킹 앱 팔러를 중단했다. 팔러는 앱 스토어, 구글 플레이, 아마존 웹 서비스에서 사용할 수 없게됐다. 언론에 따르면 폭력을 조장하는 사용자 게시물에 대한 통제력이 부족한 것으로 알려졌다.Pavlo Gonchar / SOPA Images / LightRocket의 Getty Images를 통한 사진 삽화
첫째, 해킹 혐의에 대한 방법입니다. Parler가 AWS에서 빼앗기기 전에 @donk_enby라는 핸들을 가진 트위터 사용자는 웹 사이트의 사용자 데이터를 다운로드하는 방법을 알아 냈습니다.이 모든 데이터와 Parler 사용자가 국회 의사당을 위반하고 경찰을 폭행하고 추가 폭력을 모의한다는 다른 공개 증거가 모두 포함되어 있습니다. , 잠재적으로 매우 비난을 받았지만 Gizmodo가보고 한대로 .
@donk_enby는 사진, 동영상, 텍스트 게시물 등 56 테라 바이트에 달하는 데이터를 빼앗 았습니다.이 중 많은 부분에는 보안 영역을 포함하여 1 월 6 일에 Parler 사용자를 국회 의사당 안팎에서 긍정적으로 평가하는 일부 GPS 메타 데이터가 포함되어 있습니다. 연방 성명서에 따르면이 데이터 중 적어도 56,000GB는 폭동 참가자를 식별하고 체포하는 데 사용되었지만 연방이 @donk_envy의 데이터 트랜치를 사용했다는 증거는 없습니다.
하지만 어떻게 되었습니까? 초기 추측은 @donk_enby 또는 다른 해커가 Parler 관리자 자격 증명을 훔 쳤을 수 있으며 이는 불법 행위입니다. 받아 들여진 이론은 스타트 업 신고 여러 보안 전문가는 대신 Parler의 자체 API를 사용하여 웹 사이트의 데이터를 보관하고 신속하게 보관한다고 설명했습니다.
Parler의 디자이너는 인증을 요구하여 API에 대한 액세스를 제한하지 않았습니다. 사용자는 백엔드의 데이터에 액세스하기 위해 특정 자격 증명이 필요하지 않았습니다. 그로 인해 엄청난 뒷문이 열렸습니다.
기본 보안 프로토콜을 인식하는 대부분의 웹 사이트는 요청이 악의적이지 않도록하기 위해 어떤 형태의 사용자 인증없이 API에 대한 액세스를 허용하지 않습니다. The Startup이 지적했듯이 두 가지 일반적인 인증 솔루션은 API 키와 토큰이며, 둘 다 웹 사이트에서 누가 데이터에 액세스하는지 알 수있는 몇 가지 유효한 자격 증명이 필요합니다.
인증 요구 사항이 전혀 없었습니다. 또한 Parler의 디자이너는 속도 제한 방식으로 두 번째 방어 계층을 추가하지 않았습니다. 즉, 문이 열려 있거나 금이 간 상태로 두는 대신 문이 활짝 열려있었습니다.
속도 제한은 사용자가 자격 증명에 관계없이 액세스 할 수있는 데이터 양을 제한합니다. 웹 사용자는 429 Too Many Request 오류 메시지를 실제로 보았을 것입니다. 이는 너무 많은 노크 또는 문을 통과하려는 시도가 있다는 신호입니다. Parler에는이 기능도 없었습니다. 즉, 보안되지 않은 백엔드에 액세스 한 후 @donk_enby도 48 시간 이내에 Parler의 데이터를 보관할 수있었습니다. (이상하게도 The Startup이 지적했듯이 Amazon Web Service에는 Parler가 신경 쓰지 않는 기본 방화벽 옵션이 있습니다.)
마지막으로 Parler는 사용자가 삭제되었다고 생각하는 게시물을 사용할 수 있고 누군가가 백엔드에 있으면 쉽게 찾을 수 있도록 허용했습니다. 치명적인 폭동의 여파로 일부 Parler 사용자는 웹에서 사용할 수있는 많은 증거를 알고 다른 사람들이 1 월 6 일부터 게시물을 삭제하도록 권장했습니다.
Parler의 모든 게시물에는 1 씩 증가하는 일련 번호가 부여되었습니다. 해당 게시물은 사용자가 삭제하더라도 백엔드에 남아 있습니다. @donk_enby는 각 게시물을 하나씩 찾아서 보관하는 매우 기본적인 스크립트 만 작성해야했습니다. 또한 Parler는 사진과 동영상 및 게시물이 업로드되기 전에 위치 태그가 지정된 데이터를 제거하지 않았기 때문에 해당 정보도 보관되기를 기다리고있었습니다.
WordPress 또는 기타 호스팅 소프트웨어를 모두 사용하는 다른 웹 사이트에 유사한 보안 결함이있을 수 있지만 이러한 보안 결함이 자경단 해커의 관심사가되어 침해 당할만큼 악명 높지 않을 수도 있습니다.
웹 사이트에 보안 결함, 때로는 중요한 결함이있는 경우가 드물지 않습니다. 이는 웹 사이트가 단순하고 종종 자동화 된 공격 시도 이상을 끌어낼만큼 충분히 인기가 없기 때문에 눈에 띄지 않기 때문입니다. 보안 전문가 인 Erich Kron은 KnowBe4 , 저명한 보안 솔루션 회사입니다. 사이트가 빠르게 인기를 얻으면 이러한 테스트의 초점과 복잡성이 증가하여 종종 취약점이 발견됩니다.
Kron은 이러한 현상의 최근 사례 중 하나가 Zoom이라고 말했습니다. COVID-19 전염병이 모든 작업을 원격 작업으로 만들었을 때 Zoom의 이전에 발견되지 않았던 보안 결함이 발견되어 악용 된 후 신속하게 패치되었습니다. 그러나 Parler와 함께 보안 공급 업체가 이전 클라이언트를 버리기 시작했을 때 Parler는 공격자, 핵 티비 스트 등의 표적이되었을 때 취약한 상태가되었습니다.
팔러는 아직 죽지 않았습니다. 주말 동안, 일부 버전의 Parler 반환 증오 발언을 환영하는 다른 프린지 사이트를 호스팅하는 동일한 웹 서버에서 화요일 저녁부터 사이트의 홈페이지는 기술적 문제 방문 페이지 사이트 설립자 John Matze 폭스 뉴스에 말했다 웹 사이트는 월말까지 완전히 작동 할 계획입니다 (모바일 사용자는 앱 대신 웹 기반 버전을 사용하게 될 가능성이 높습니다). 그리고 온라인 극우를위한 다른 집이 있습니다. Zolides가 지적했듯이 Gab과 같은 자유 연설 중심 포럼은 Parler보다 콘텐츠 조정에 더 적극적이었습니다.
@donk_enby가 Parler의 데이터에 정확히 어떻게 액세스했는지, 그리고 오픈 도어 이론이 정확히 무슨 일이 일어 났는지에 대한 자세한 내용은 아직 나타날 수 있습니다. (사이버 보안 질문과는 별개로 윤리 문제입니다. 위반 또는 해킹, Parler의 사용자 데이터는 Steinberg가 말했듯이 여전히 도난 당했으며 강도는 축하 할 일이 아닙니다.)
Parler의 데이터가 잘못된 설계에 의해 수행되었다고 가정 할 때 현재 1 월 6 일의 온라인 이야기는 반복되는 자기 비난 중 하나입니다. 미 국회 의사당을 방황하는 가면을 벗어난 폭도들이 기꺼이 추가 계획에 대해 기뻐하고 공개적으로 논의하고 유죄 증거를 인터넷에 올렸습니다. 그 동안 증거를 익명으로 또는 안전하게 보관할 준비가되지 않은 웹 사이트로 이동합니다.
