Parler, la fregatura di Twitter che servito come uno dei principali strumenti organizzativi per i fanatici di Donald Trump Trump che ha preso d'assalto il Campidoglio degli Stati Uniti il 6 gennaio, è stato in gran parte offline per più di una settimana. Ma anche nell'animazione sospesa, la casa online preferita da QAnon, i Proud Boys e altri elementi dell'estrema destra americana continua a creare problemi.
Le decisioni di Amazon, Apple e Google di smettere di ospitare il sito e vietare agli utenti mobili di scaricare l'app hanno scatenato la censura di Big Tech. A parte il Primo Emendamento e la politica di regolamentazione di Internet, il modo in cui Parler ha sgorgato i dati mentre esce dalla porta solleva serie questioni di sicurezza informatica e preoccupazioni sul fatto che altri giocatori su Internet abbiano violazioni dei dati nel loro futuro.
Sebbene sia impossibile verificare senza sbirciare sotto il cofano di Parler, un compito ora impossibile dal momento che il sito Web è offline, la narrativa prevalente è che un difetto di sicurezza di Parler (o difetti) ha permesso a un hacker white hat di scaricare e archiviare tutti i dati dell'utente di Parler in breve tempo prima che Amazon Web Services staccasse la spina dall'hosting del sito. Tra i dati presentati per l'accesso al pubblico (e alle forze dell'ordine) c'erano, in alcuni casi, dati sull'ubicazione potenzialmente incriminanti.
Parlare fatto affidamento su Worpress , il sistema di gestione dei contenuti più utilizzato al mondo. Ciò ha portato alla speculazione che WordPress fosse parte del difetto e che chiunque altro utilizzasse WordPress fosse in pericolo. Tuttavia, secondo un consenso generale di esperti di sicurezza informatica , inclusi diversi contattati per questo articolo, la violazione dei dati di Parler non è avvenuta semplicemente perché Parler ha utilizzato WordPress. Invece, i dati degli utenti di Parler sono trapelati perché il CEO John Matze e gli architetti del sito hanno lasciato gravi difetti nell'API di Parler, il collegamento tra il front-end di Parler e i suoi dati utente.
Guarda anche: Elon Musk incolpa Facebook e Mark Zuckerberg per Capitol Riot
La convinzione predominante è che Parler fosse un progetto frettoloso e scadente, incoraggiato da investitori di destra a diventare piuttosto grande prima che avessero davvero costruito una solida base, tecnologicamente parlando, Andrea Zolides , ha detto a Braganca un professore di comunicazione alla Xavier University che tiene corsi di design digitale. (Tra gli investitori di Parler sono il miliardario di destra Rebekah Mercer , che ha cercato di capitalizzare la rabbia della destra contro Twitter e Facebook per far crescere il pubblico di Parler.)
Mentre qualsiasi sito Web ha i suoi problemi di privacy, Parler sembra un problema di diventare troppo grande, troppo veloce e non avere la capacità o il know-how tecnico per prepararsi effettivamente a questo, ha aggiunto Zolides.
In uno sviluppo positivo per chiunque sia preoccupato per l'anonimato o la sicurezza in generale, altri siti Web possono evitare la trappola di Parler... a condizione che non siano start-up relativamente nuove e piccole che cercano di competere con giganti affermati come Twitter e Facebook, che è esattamente ciò che ha fatto Parler .
Sì, Parler avrebbe potuto essere progettato meglio, ma realisticamente parlando, questo è il tipo di problema che si verifica quando si compete con aziende mature che hanno investito miliardi e miliardi di dollari nei loro prodotti, disse Joseph Steinberg , esperto di sicurezza e autore di Sicurezza informatica per manichini . Avrai difficoltà a progettare tutto ciò che desideri in modo sicuro. 
Google, Apple e Amazon hanno sospeso l'app di social network Parler. Parler è diventato non disponibile in App Store, Google Play e Amazon Web Services, secondo quanto riferito come detto controllo insufficiente sui post degli utenti che hanno incoraggiato la violenza, secondo quanto riferito dai media.Illustrazione fotografica di Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Innanzitutto, il metodo per il presunto hack. Prima che Parler venisse strappato da AWS, un utente di Twitter con l'handle @donk_enby ha capito come scaricare i dati utente del sito Web, il tutto insieme a qualsiasi altra prova molto pubblica di utenti di Parler che hanno violato il Campidoglio, aggredito gli ufficiali e pianificato ulteriori violenze , era potenzialmente molto incriminante, come riportato da Gizmodo .
@donk_enby alla fine ha raccolto 56 terabyte di dati: foto, video e messaggi di testo, molti dei quali includevano alcuni metadati GPS che hanno messo positivamente gli utenti di Parler dentro e intorno al Campidoglio il 6 gennaio, anche in aree protette. Almeno alcuni di questi dati - 56.000 gigabyte - sono stati utilizzati per identificare e arrestare i partecipanti alla rivolta, secondo affidavit federali, ma non ci sono prove positive che i federali abbiano utilizzato la tranche di dati di @donk_envy.
Ma come è stato fatto? Le prime speculazioni dicevano che @donk_enby o un altro hacker potrebbero aver rubato le credenziali di amministratore di Parler, il che sarebbe un atto illegale. La teoria accettata è che, come La Startup segnalato e diversi esperti di sicurezza hanno delineato, invece, che l'API di Parler è stata utilizzata contro di essa per archiviare i dati del sito Web e per farlo rapidamente.
I progettisti di Parler non hanno limitato l'accesso all'API richiedendo l'autenticazione. Gli utenti non avevano bisogno di credenziali specifiche per accedere ai dati sul back-end. Ciò ha lasciato aperta un'enorme porta sul retro.
La maggior parte dei siti Web a conoscenza del protocollo di sicurezza di base non consente l'accesso all'API senza una qualche forma di autenticazione dell'utente per garantire che la richiesta non sia dannosa. Come ha sottolineato The Startup, due soluzioni di autenticazione comuni sono chiavi API e token, che richiedono entrambe credenziali valide che consentono anche al sito Web di sapere chi sta accedendo ai dati.
Nessun requisito di autenticazione ha lasciato una porta socchiusa. Inoltre, i designer di Parler non si sono preoccupati di aggiungere un secondo livello di difesa in termini di limitazione della velocità, il che significa che invece di una porta socchiusa o lasciata incrinata, la porta era spalancata.
Il limite di velocità limita la quantità di dati a cui un utente può accedere indipendentemente dalle credenziali. Gli utenti Web potrebbero aver visto 429 Too Many Request messaggi di errore in natura, il che è un segno che ci sono stati troppi colpi o tentativi di passare attraverso la porta. Neanche Parler aveva questo, il che significava che una volta effettuato l'accesso al back-end non protetto, anche @donk_enby era in grado di archiviare i dati di Parler entro 48 ore. (Stranamente, come ha sottolineato The Startup, Amazon Web Service ha un'opzione firewall di base che Parler non sembrava preoccuparsi.)
Infine, Parler ha anche consentito ai post che i suoi utenti ritenevano fossero stati eliminati di essere disponibili e facilmente scoperti una volta che qualcuno era nel back-end. All'indomani dei disordini mortali, alcuni utenti di Parler, consapevoli della quantità di prove disponibili sul web, hanno incoraggiato altri a cancellare i propri post dal 6 gennaio.
A tutti i post di Parler sono stati assegnati numeri sequenziali che sono aumentati di 1. Anche quando quei post sono stati eliminati dall'utente, sono rimasti nel back-end. @donk_enby apparentemente aveva bisogno di scrivere solo uno script molto semplice che trovasse e archiviasse ogni post, uno per uno. E poiché Parler non si è preoccupato di rimuovere i dati georeferenziati da foto, video e post prima che fossero caricati, anche quelle informazioni erano lì in attesa di essere archiviate.
È possibile che altri siti Web che utilizzano WordPress o altri software di hosting del tutto possano avere difetti di sicurezza simili, ma potrebbero anche non essere abbastanza famigerati da far sì che tali difetti di sicurezza diventino l'interesse degli hacker vigilanti e quindi vengano violati.
Non è raro che i siti web presentino falle di sicurezza, a volte significative, che passano inosservate perché non sono abbastanza popolari da attirare tentativi più che semplici, spesso automatizzati, di comprometterle, ha affermato Erich Kron, un esperto di sicurezza con KnowBe4 , un'importante azienda di soluzioni di sicurezza. Quando il sito diventa popolare rapidamente, l'attenzione e la complessità di questi test aumentano, portando spesso alla scoperta di vulnerabilità.
Un esempio recente di questo fenomeno, ha detto Kron, è stato Zoom. Quando la pandemia di COVID-19 ha reso tutto il lavoro a distanza, i difetti di sicurezza precedentemente non rilevati di Zoom sono stati scoperti, sfruttati e quindi rapidamente corretti. Ma con Parler, quando i fornitori di sicurezza hanno iniziato ad abbandonare il loro ex client, Parler ha lasciato Parler vulnerabile in un momento in cui erano anche bersaglio di aggressori, attivisti informatici e altri, ha aggiunto Kron.
Parler non è ancora morto. Nel fine settimana, è tornata qualche versione di Parler sugli stessi server web che ospitano altri siti marginali che accolgono incitamenti all'odio. Da martedì sera, la homepage del sito è a difficoltà tecniche landing page; fondatore del sito John Matze ha detto a Fox News il sito web prevede di essere completamente funzionante entro la fine del mese (sebbene gli utenti mobili rimarranno probabilmente bloccati utilizzando la versione basata sul web invece di un'app). E ci sono altre case per l'estrema destra online, anche se, come ha sottolineato Zolides, i forum incentrati sulla libertà di parola come Gab sono stati più proattivi con la moderazione dei contenuti rispetto a Parler.
Potrebbero ancora emergere ulteriori dettagli su come @donk_enby abbia avuto accesso ai dati di Parler e se la teoria della porta aperta fosse esattamente ciò che è accaduto. (E stando separati dalla questione della sicurezza informatica ci sono questioni di etica; violazione o hacking, i dati degli utenti di Parler sono stati ancora rubati, come ha detto Steinberg, e una rapina non è niente da celebrare.)
Supponendo che i dati di Parler siano stati manomessi da una cattiva progettazione, per ora, la storia online del 6 gennaio è una di ripetute autoincriminazioni: rivoltosi smascherati che vagano per il Campidoglio degli Stati Uniti, discutono allegramente e apertamente dei loro piani aggiuntivi sventati, pubblicando prove incriminanti su Internet tutti nel frattempo, a un sito Web che non era preparato a mantenere tali prove anonime o sicure.
![Jenifer Rajkumar file per il seggio al Senato di Daniel Squadron [Aggiornamento]](https://newbornsplanet.com/img/politics/05/jenifer-rajkumar-files.jpg)
