Principal Innovación Parler fue pirateado en WordPress, la plataforma más grande de Internet. ¿Están todos en riesgo?

Parler fue pirateado en WordPress, la plataforma más grande de Internet. ¿Están todos en riesgo?

¿Qué Película Ver?
 

Parler, la estafa de Twitter que sirvió como una de las principales herramientas de organización para los fanáticos de Donald Trump que irrumpió en el Capitolio de los Estados Unidos el 6 de enero, ha sido en gran parte fuera de línea durante más de una semana. Pero incluso en la animación suspendida, el hogar en línea preferido de QAnon, los Proud Boys y otros elementos de la extrema derecha estadounidense sigue creando problemas.

Las decisiones de Amazon, Apple y Google de dejar de alojar el sitio y prohibir a los usuarios de dispositivos móviles descargar la aplicación han provocado gritos de censura de las Big Tech. Dejando a un lado la Primera Enmienda y la política de regulación de Internet, la forma en que Parler difundió datos en su camino hacia la puerta plantea serias preguntas de seguridad cibernética, así como preocupaciones sobre si otros jugadores en Internet tendrán violaciones de datos en el futuro.

Aunque es imposible de verificar sin echar un vistazo bajo el capó de Parler, una tarea ahora imposible porque el sitio web está fuera de línea, la narrativa predominante es que una falla de seguridad de Parler (o fallas) permitió a un pirata informático de sombrero blanco descargar y archivar todos los datos de usuario de Parler en breve antes de que Amazon Web Services abandonara el alojamiento del sitio. Entre los datos presentados para que el público (y las fuerzas del orden) accedan se incluyen, en algunos casos, datos de ubicación potencialmente incriminatorios.

Hablar confió en Worpress , el sistema de gestión de contenido más utilizado del mundo. Eso ha llevado a la especulación de que WordPress era parte de la falla y que cualquier otra persona que usara WordPress estaba en peligro. Sin embargo, según un consenso general de expertos en ciberseguridad , incluidos varios contactados para este artículo, la violación de datos de Parler no ocurrió simplemente porque Parler usó WordPress. En cambio, los datos de usuario de Parler se filtraron porque el CEO John Matze y los arquitectos del sitio dejaron fallas importantes en la API de Parler, el vínculo entre la interfaz de Parler y sus datos de usuario.

Ver también: Elon Musk culpa a Facebook y Mark Zuckerberg por Capitol Riot

La creencia predominante es que Parler fue un diseño pobre y apresurado impulsado por inversores de derecha para crecer bastante antes de que realmente hubieran construido una base sólida, tecnológicamente hablando, Andrew Zolides , dijo a Braganca un profesor de comunicaciones de la Universidad Xavier que imparte cursos de diseño digital. (Entre los inversores de Parler son la multimillonaria de derecha Rebekah Mercer , que intentó sacar provecho de la ira de la derecha contra Twitter y Facebook para aumentar la audiencia de Parler).

Si bien cualquier sitio web tiene sus preocupaciones de privacidad, Parler parece un problema de crecer demasiado, demasiado rápido y no tener la capacidad o los conocimientos técnicos para prepararse realmente para eso, agregó Zolides.

En un desarrollo bienvenido para cualquier persona preocupada por el anonimato o la seguridad en general, otros sitios web pueden evitar la trampa de Parler ... siempre que no sean empresas relativamente nuevas y pequeñas que intenten competir con gigantes establecidos como Twitter y Facebook, que es exactamente lo que hizo Parler. .

Sí, Parler podría haber sido mejor diseñado, pero hablando de manera realista, este es el tipo de problema que ocurre cuando compite con empresas maduras que han invertido miles de millones y miles de millones de dólares en sus productos. dijo Joseph Steinberg , experto en seguridad y autor de Ciberseguridad para tontos . Te resultará difícil diseñar todo lo que quieras de forma segura. Google, Apple y Amazon han suspendido la aplicación de redes sociales Parler. Parler dejó de estar disponible en App Store, Google Play y Amazon Web Services, según se informa, según se informa, el control insuficiente sobre las publicaciones de los usuarios que fomentaban la violencia, según los informes de los medios.Ilustración fotográfica de Pavlo Gonchar / SOPA Images / LightRocket a través de Getty Images



Primero, el método para el supuesto hack. Antes de que Parler fuera sacado de AWS, un usuario de Twitter con el nombre de usuario @donk_enby descubrió cómo descargar los datos de usuario del sitio web, todo lo cual, junto con cualquier otra evidencia pública de usuarios de Parler que violaron el Capitolio, agredieron a oficiales y planearon más violencia. , era potencialmente muy incriminatorio, como informó Gizmodo .

@donk_enby finalmente obtuvo 56 terabytes de datos: fotos, videos y publicaciones de texto, muchos de los cuales incluían algunos metadatos de GPS que colocaron positivamente a los usuarios de Parler en el Capitolio y sus alrededores el 6 de enero, incluso en áreas seguras. Al menos algunos de estos datos, 56.000 gigabytes, se han utilizado para identificar y detener a los participantes de los disturbios, según declaraciones juradas federales, pero no hay pruebas positivas de que los federales hayan utilizado el tramo de datos de @ donk_envy.

Pero, ¿cómo se hizo? Las primeras especulaciones zumbaron de que @donk_enby u otro pirata informático podrían haber robado las credenciales de administrador de Parler, lo que sería un acto ilegal. La teoría aceptada es que, como La puesta en marcha informó y varios expertos en seguridad han señalado, en cambio, que la propia API de Parler se utilizó en su contra para archivar los datos del sitio web, y para hacerlo rápidamente.

Los diseñadores de Parler no restringieron el acceso a la API al requerir autenticación. Los usuarios no necesitaban credenciales específicas para acceder a los datos en el back-end. Eso dejó abierta una enorme puerta trasera.

La mayoría de los sitios web que conocen el protocolo de seguridad básico no permiten el acceso a la API sin alguna forma de autenticación de usuario para garantizar que la solicitud no sea maliciosa. Como señaló The Startup, dos soluciones de autenticación comunes son las claves de API y los tokens, los cuales requieren algunas credenciales válidas que también permiten que el sitio web sepa quién está accediendo a los datos.

Ningún requisito de autenticación dejó una puerta entreabierta. Además de eso, los diseñadores de Parler no se molestaron en agregar una segunda capa de defensa en forma de limitación de velocidad, lo que significa que en lugar de una puerta entreabierta o entreabierta, la puerta estaba abierta de par en par.

La limitación de velocidad limita la cantidad de datos a los que puede acceder un usuario independientemente de sus credenciales. Es posible que los usuarios de la Web hayan visto 429 demasiados mensajes de error de Solicitud en la naturaleza, lo que es una señal de que ha habido demasiados golpes o intentos de atravesar la puerta. Parler tampoco tenía esto, lo que significaba que una vez que se accedió al back-end no seguro, @donk_enby también pudo archivar los datos de Parler en 48 horas. (Curiosamente, como señaló The Startup, Amazon Web Service tiene una opción de firewall básica con la que Parler no parecía molestarse).

Finalmente, Parler también permitió que las publicaciones que sus usuarios creían que se eliminaron estuvieran disponibles y se descubrieran fácilmente una vez que alguien estaba en el back-end. A raíz de los disturbios mortales, algunos usuarios de Parler, conscientes de la gran cantidad de evidencia disponible en la web, alentaron a otros a eliminar sus publicaciones del 6 de enero.

Todas las publicaciones de Parler recibieron números secuenciales que aumentaron en 1. Incluso cuando el usuario eliminó esas publicaciones, permanecieron en el back-end. @donk_enby aparentemente necesitaba escribir solo un script muy básico que encontrara y archivara cada publicación, una por una. Y dado que Parler no se molestó en eliminar datos con etiquetas geográficas de fotos, videos y publicaciones antes de que se cargaran, esa información también estaba allí esperando a ser archivada.

Es posible que otros sitios web que usan WordPress u otro software de alojamiento en conjunto tengan fallas de seguridad similares, pero también es posible que no sean lo suficientemente infames como para que esas fallas de seguridad se conviertan en el interés de los piratas informáticos y, por lo tanto, sean violadas.

No es raro que los sitios web tengan fallas de seguridad, a veces importantes, que pasan desapercibidas porque no son lo suficientemente populares como para atraer más que simples, a menudo automatizados, intentos de comprometerlos, dijo Erich Kron, un experto en seguridad de KnowBe4 , una destacada firma de soluciones de seguridad. Cuando el sitio se vuelve popular rápidamente, el enfoque y la complejidad de estas pruebas aumentan, lo que a menudo conduce al descubrimiento de vulnerabilidades.

Un ejemplo reciente de este fenómeno, dijo Kron, fue Zoom. Cuando la pandemia de COVID-19 hizo que todo el trabajo funcionara de forma remota, las fallas de seguridad de Zoom no detectadas previamente fueron descubiertas, explotadas y luego reparadas rápidamente. Pero con Parler, cuando los proveedores de seguridad comenzaron a deshacerse de su antiguo cliente, dejó a Parler vulnerable en un momento en que también eran blanco de atacantes, hacktivistas y otros, agregó Kron.

Parler aún no ha muerto. El fin de semana, alguna versión de Parler regresó en los mismos servidores web que alojan otros sitios marginales que dan la bienvenida al discurso de odio. A partir del martes por la noche, la página de inicio del sitio es una página de destino de dificultades técnicas; fundador del sitio John Matze dijo a Fox News el sitio web planea ser completamente funcional para fin de mes (aunque es probable que los usuarios móviles se queden atascados usando la versión basada en la web en lugar de una aplicación). Y hay otros hogares para la extrema derecha en línea, aunque, como señaló Zolides, los foros centrados en la libertad de expresión como Gab han sido más proactivos con la moderación de contenido que Parler.

Es posible que aún surjan más detalles sobre exactamente cómo @donk_enby accedió a los datos de Parler y si la teoría de las puertas abiertas fue exactamente lo que sucedió. (Y separados de la cuestión de la seguridad cibernética están los problemas de ética; violación o pirateo, los datos de usuario de Parler aún fueron robados, como dijo Steinberg, y un atraco no es nada para celebrar).

Suponiendo que los datos de Parler se hicieron con un mal diseño, por ahora, la historia en línea del 6 de enero es una de autoincriminación repetida: alborotadores desenmascarados vagando por el Capitolio de los Estados Unidos, discutiendo alegre y abiertamente sus planes adicionales frustrados, publicando evidencia incriminatoria en Internet. mientras tanto, a un sitio web que no estaba preparado para mantener esa evidencia anónima o segura.

Artículos Que Le Pueden Gustar :