Parler je ugasnil

Konec prejšnjega tedna so ameriški IT velikani pobrisali račune ameriškega predsednika Donalda Trumpa na družbenih omrežjih, saj so presodili, da njegove objave kršijo pogoje uporabe. Čez vikend sta Google in Apple sporočila, da bosta aplikacijo Parler odstranila iz svojih spletnih trgovin z aplikacijami, saj naj bi Parler ne odstranjeval objav, ki so ščuvale k vdoru v stavbo ameriškega Kongresa, s tem pa je je kršil pogoje uporabe spletne trgovine, ki določajo, da je treba uporabniško vsebino, ki spodbuja nasilje odstranjevati.

Trumpovi podporniki so se že lani pričeli seliti na alternativno družabno omrežje Parler, ki je nastalo leta 2018 in se oglašuje kot prostor svobodnega izražanja, ki naj ne bi bil politično opredeljen v nobeno smer. Na Parlerju imajo (oz. so imeli?) račune števili vidni (desni) politiki, tudi slovenski. Parler je te dni zašel v hude varnostne težave, ki pa so se rešile tako hitro kot so se pojavile. Z ugašanjem strežnikov.

Twilio (ponudnik spletne storitve pošiljanja SMS za namen verifikacije telefonske številke kot dodatnega sredstva identifikacije in drugih storitev) je zaradi kršitev ukinil svoje storitve za Parler. To pomeni, da naekrat ni več delovala dvofaktorska avtentifikacija. Prav tako je sodelovanje odpovedal Okta (spletni servis za avtentikacijo uporabnikov). Parler je uporabljal brezplačno različico API, namenjeno testiranju. Okta je Parler odklopil.

Težave, ki sta jih je zakuhala Twilio in Okta so se tukaj šele začele. Twilio je kot kaže v svoji objavi za javnost pomotoma (?) razkril API klic, ki ga je Parler uporabljal za prenašanje podatkov v mobilno aplikacijo, kar je napadalcem omogočilo, da so začeli s spletne platforme prenašati vse uporabniške podatke, tudi slike in video posnetke v surovi obliki - in to z vsemi pripadajočimi metapodatki. Napadalci so v nadaljevanju napada izdelali sliko virtualnega sistema (Warior) za avtomatično shranjevanje uporabniške vsebine na zunanje sisteme, kjer bo na voljo raziskovalcem, organom pregona in raznim tajnim službam.

Med uporabniki platforme so številni posamezniki, ki so potrdili svoje račune. V ta namen so Parlerju poslali tudi fotografije svojih osebnih dokumentov. Tudi če so bili souporabnikom neznani, so napadalcem zdaj povsem znani - z imeni in priimki, naslovi in slikami vred.

Po tem, ko je vdor postal javno znan, so številni uporabniki pobrisali vsebine s svojega računa. Vendar jim to prav veliko ne pomaga, ker je sistem sprogramiran tako, da ničesar zares ne izbriše.

Parler verjetno ne bo preživel. Po tem, ko sta odpovedala svoje sodelovanje Google in Apple, ga s svojih oblakov meče tudi Amazon. V času pisanja novice spletna stran ni dosegljiva, napovedano pa je, da bo stran nedosegljiva vsaj en teden.