A Parler neve lehet, hogy a magyar felhasználók számára nem mond sokat, de Amerikában már kifejezetten népszerűnek számít: egy 10 millió felhasználóval rendelkező közösségi oldal, amelyet 2018-ban hoztak létre azzal a céllal, hogy a Facebook mellett olyan alternatívát kínáljon, ahol megengedett a szabad véleménynyilvánítás és nincsenek kitiltások, cenzúrázások.
A Computerworld.hu felkérésére az Alverad Technology Focus Kft. szakértői járták körbe a Parler nagy port kavaró adatszivárgását, ami a Capitolium ostroma után történt. Mint kiderült, akár súlyosabb következményei is lehettek volna az esetnek. Az elmúlt időszakban feltörekvőnek számító szolgáltatás felhasználói bázisának magját az egyre aktívabb szélsőséges konzervatívok alkották, köztük ismert politikusok, médiaszemélyiségek és Donald Trump támogatói is. A közösségi oldal a kontroll és az etikai felügyelet hiányában azonban lassan az összeesküvés-elmélet hívők, szélsőséges csoportok és a választási csalásokkal kapcsolatos hírek olvasztótégelye lett, és gyorsan lett népszerű, amit a jelek szerint saját biztonsági rendszere nem tudott követni.
Jelenleg persze más miatt fáj a Parler üzemeltetőinek feje, hiszen a január eleji, Capitoliumnál történt zavargások miatt az Apple és a Google eltávolította a közösségi szolgáltatás mobilalkalmazását. A fő ok erre az, hogy a Washingtonban történtek szervezése és kommunikációja javarészt ezen a platformon történt. Végül január 10-én este a platformnak helyet adó Amazon is felfüggesztette a Parler hoszting fiókját, ezzel pedig a platform elérhetetlenné vált.
Mielőtt azonban a Parler elhallgatott volna, még egy biztonsági incidens is érintette a közösségi szolgáltatást, a "donk_enby" nevű hackernek sikerült hozzáférnie, majd publikálnia jelentős mennyiségű felhasználói adatot, amelyből 56.7 terabájt mennyiséget tudott menteni. A megszerzett adatok jellemzően a felhasználók által posztolt üzenetek, videók és képi tartalmak voltak, amelyek további információkat, például geolokációt is tartalmaztak.
A geolokációs adatok azért is érdekesek, mivel láthatóan a platform egyáltalán nem foglalkozott a képi és videótartalmak metaadatainak eltávolításával, tehát a feltöltött fájlok eredeti formájukban kerültek eltárolásra a Parler rendszerén belül.
Bárki megtudhatta, hol vannak a felhasználók
Az Alverad Technology Focus Kft. munkatársai is letöltötték a metaadatokat tartalmazó fájlokat, összesen 1.032.525 darabot. A fájlokból megismerhetők voltak a geolokációs adatok, a felvétel készítő eszközök típusai és egyéb médiaspecifikus információk.
Az egyes fájlokhoz elérhető metaadatok
A geolokációs adatok elemzése után az alábbi térképeket lehetett leképezni:
A médiafájlok GPS adatai alapján készült hőtérkép (@kcimc twitter felhasználó által)
Itt pedig a Capitoliumra vetített GPS-koordináták láthatók a médiafájlok tartalma alapján:
(gizmodo.com)
A Parler-metaadatok felhasználásával készített térkép azt ábrázolja, hogy Donald Trump elnöki beszéde után a tüntetők áradata elhagyja a National Mall-t, majd az amerikai Capitolium épülete felé tart, ahol a zavargások kezdődtek.
(gizmodo.com)
A Twitteren "@donk_enby" egyik bejegyzése szerint, egy feltört iPad és a Ghidra célszoftver segítségével sikerült a Parler tartalmának 96%-át lementenie. Más források elmondása szerint csak a felhasználók által publikusan megosztott adatokat töltött le "archiválás" céljából, privát adatokat nem. Ennek ellenére a vasárnapi Twitter-bejegyzése szerint több mint 1,1 millió hivatkozást osztott meg, amelyekről azt írta, "tartalmazhatnak privát és törölt üzeneteket is".
I am now crawling URLs of all videos uploaded to Parler. Sequentially from latest to oldest. VIDXXX.txt files coming up, 50k chunks, there will be 1.1M URLs total: https://t.co/YUl8CtoeEA
This may include things from deleted/private posts.
A megosztott Parler tartalmak hivatkozásai:
A Wired összefoglalója szerint megállapítható, hogy "A @donk_enby által használt letöltőeszköz azt a hibát használta ki, amely során az alkalmazások a tárolt adataikat egyedi azonosítóval látják el, és amelyre hivatkozni tudnak a későbbiekben. Ha ez az egyedi azonosító nem megfelelően random, akkor ki lehet következtetni a következő elem azonosítóját is. A Parler esetében ez olyan banális tervezési hibával rendelkezett, hogy az azonosító számát az URL-ben 1-gyel növelve az időrendben következő post-hoz lehetett hozzáférni. Külön kiemelnénk, hogy a Parler semmilyen csillapítást nem alkalmazott a lekérdezések számát illetően, így korlátozás nélkül bárki képes lehetett nagy mennyiségű adatot letölteni. Bármely hacker egy egyszerű script segítségével letölthette a Parler webszerverén lévő összes üzenetet, fotót és videót abban az időrendi sorrendben, ahogy posztolták őket."
Ez a hiba a webes alkalmazások biztonsági tesztelését segítő, az OWASP módszertan jól ismert pontja, amelyet Insecure Direct Object Reference-nek (IDOR) hívnak. Gyakorlatilag ebben az esetben a szó klasszikus értelmében nem történt "hackelés", donk_enby észrevette a hibát, amely alapján egyszerű scraping módszerrel a szekvenciákat növelve elérte és lementette a megosztott tartalmakat.
Magyar viszonylatban érdemes kiemelni a Parlerhez hasonló, "tiltásmentes" hazai Facebook-alternatívát is, amely Hundub néven indult el decemberben, és amely becslések szerint akár már 100.000 regisztrált taggal is rendelkezhet.
Több szakértő és blog is foglalkozott a Hundub jelenséggel, például a Kiberblog, illetve "Szögi" is jelezték aggályaikat a közösségi oldal biztonságát illetően. A szakértők által feltárt hibák jelezve lettek a Hundub üzemeltetése felé, amelyek részben vagy egészben javításra kerültek. Egy ideig még a webszerver konfigurációs állománya is elérhető volt.
Újhelyi Gergely, az Alverad Technology Focus Kft. biztonsági szakértője a Parlert érintő biztonsági eseménnyel kapcsolatban így nyilatkozott a Computerworld.hu-nak: "Minden esetben fenntartással kell kezelni a közösségi oldalakra feltöltött adatokat, nem lehet egyértelműen meggyőződni arról, hogy ezek az adatok biztonságban vannak, és hogy ki férhet hozzájuk. Alapelvként érdemes kezelni, hogy amit egyszer megosztottunk az interneten, az már nem visszavonható, nem kitörölhető, még akkor sem, ha sok esetben látszólag rendelkezésre is áll törlés funkció."
"Arra is fontos felhívni a figyelmet, hogy még a nagylétszámú biztonsági csapattal és jelentős, a biztonságra fordítható anyagi és műszaki erőforrásokkal rendelkező közösségi média platformokat is érinthetik biztonsági vagy akár adatszivárgási események, így érdemes abba belegondolni, hogy az alternatív platformok (akik nem rendelkeznek ilyen erőforrásokkal), vajon hogyan tudják garantálni a felhasználók és az adatok bizalmasságát, sértetlenségét és rendelkezésre állását?" - tette hozzá.
Súlyosabb következményei is lehettek volna az adatszivárogtatásnak
Tusor Tamás, aki szintén az Alverad Technology Focus Kft. IT-biztonsági szakértője, kiegészítésképpen az ügy kapcsán elmondta lapunknak: "Az ilyen fajta biztonsági incidenseket szakmailag ritkán tekintjük úgy, hogy ténylegesen feltörték volna az oldalt, mert tulajdonképpen csak publikusan, vagy a donky_enby számára hozzáférhető adatokhoz sikerült hozzáférjenek és meghamisítani/módosítani sem sikerült az adatokat, így ez inkább adat-szivárogtatásnak tekinthető. Más kérdés, hogy mekkora lenne a súlya - jó, vagy rossz hírnév szempontjából -, ha esetleg donk_enby néhány emberről, akik szerepelnek az állományokban, megváltoztatott volna ezt-azt. Hiszen, mivel a szolgáltatás már nem él, nehéz visszaellenőrizni, hogy tényleg pontosan úgy szólt-e az a poszt, ahogy az állományokban szerepel. Ilyen módon például fókuszban lévő közszereplőknek (aki lehet Donald Trump vagy akár Donald kacsa) is a szájába lehet adni olyan mondatokat, amiket soha nem mondott, vagy soha nem mondana..."