ఇంటర్నెట్ యొక్క అతిపెద్ద ప్లాట్‌ఫామ్ అయిన WordPress లో పార్లర్ హ్యాక్ చేయబడింది. అందరూ ప్రమాదంలో ఉన్నారా?

పార్లర్, ట్విట్టర్ రిప్-ఆఫ్ డోనాల్డ్ ట్రంప్ మతోన్మాదులకు ప్రధాన ఆర్గనైజింగ్ సాధనాల్లో ఒకటిగా పనిచేశారు జనవరి 6 న యు.ఎస్. కాపిటల్ పై దాడి చేసిన వారు ఎక్కువగా ఆఫ్‌లైన్ ఒక వారం కన్నా ఎక్కువ. సస్పెండ్ చేయబడిన యానిమేషన్‌లో కూడా, QAnon, ప్రౌడ్ బాయ్స్ మరియు అమెరికన్ కుడి-కుడి యొక్క ఇతర అంశాలకు ఇష్టపడే ఆన్‌లైన్ హోమ్ ఇప్పటికీ ఇబ్బందిని సృష్టిస్తోంది.

అమెజాన్, ఆపిల్ మరియు గూగుల్ సైట్ హోస్టింగ్ నుండి నిష్క్రమించాలని మరియు మొబైల్ వినియోగదారులను అనువర్తనాన్ని డౌన్‌లోడ్ చేయడాన్ని నిషేధించాలన్న నిర్ణయాలు బిగ్ టెక్ సెన్సార్‌షిప్ యొక్క ఏడుపులను రేకెత్తించాయి. మొదటి సవరణ మరియు ఇంటర్నెట్ నియంత్రణ రాజకీయాలను పక్కన పెడితే, పార్లర్ తలుపు తీసే విధానం తీవ్రమైన సైబర్‌ సెక్యూరిటీ ప్రశ్నలను లేవనెత్తుతుంది, అలాగే ఇంటర్నెట్‌లోని ఇతర ఆటగాళ్లకు భవిష్యత్తులో డేటా ఉల్లంఘనలు ఉన్నాయా అనే చింత కూడా ఉంది.

వెబ్‌సైట్ ఆఫ్‌లైన్‌లో ఉన్నందున పార్లర్ యొక్క హుడ్ కింద చూడకుండా ధృవీకరించడం అసాధ్యం అయినప్పటికీ, ప్రస్తుత కథనం ఏమిటంటే, పార్లర్ భద్రతా లోపం (లేదా లోపాలు) ఒక వైట్-టోపీ హ్యాకర్‌ను పార్లర్ యొక్క వినియోగదారు డేటాను డౌన్‌లోడ్ చేసి, ఆర్కైవ్ చేయడానికి అనుమతించింది. అమెజాన్ వెబ్ సర్వీసెస్ సైట్ హోస్ట్ చేయడానికి ప్లగ్ లాగడానికి ముందు. ప్రాప్యత కోసం ప్రజల కోసం (మరియు చట్ట అమలు) సమర్పించిన డేటాలో, కొన్ని సందర్భాల్లో, స్థాన డేటాను దోషపూరితం చేస్తుంది.

మాట్లాడండి వోర్ప్రెస్‌పై ఆధారపడింది , ప్రపంచంలో ఎక్కువగా ఉపయోగించే కంటెంట్ మేనేజ్‌మెంట్ సిస్టమ్. ఇది WordPress లోపంలో భాగమేనని మరియు WordPress ను ఉపయోగించుకునే ఎవరైనా ప్రమాదంలో ఉన్నారని ulation హాగానాలకు దారితీసింది. అయితే, సైబర్ సెక్యూరిటీ నిపుణుల సాధారణ ఏకాభిప్రాయం ప్రకారం , ఈ వ్యాసం కోసం అనేక మందిని సంప్రదించినప్పటికీ, పార్లర్ బ్లాగును ఉపయోగించినందున పార్లర్ యొక్క డేటా ఉల్లంఘన జరగలేదు. బదులుగా, పార్లర్ యొక్క యూజర్ డేటా లీక్ అయినందున CEO జాన్ మాట్జ్ మరియు సైట్ యొక్క వాస్తుశిల్పులు పార్లర్ యొక్క API లో పెద్ద లోపాలను వదిలిపెట్టారు, పార్లర్ యొక్క ఫ్రంట్ ఎండ్ మరియు దాని యూజర్ డేటా మధ్య లింక్.

ఇది కూడ చూడు: కాపిటల్ అల్లర్లకు ఎలోన్ మస్క్ ఫేస్‌బుక్ మరియు మార్క్ జుకర్‌బర్గ్‌లను నిందించాడు

ప్రధాన నమ్మకం ఏమిటంటే, పార్లర్ హడావిడిగా, పేలవమైన రూపకల్పన, కుడి-వాలుగా ఉన్న పెట్టుబడిదారులు వారు నిజంగా పెద్ద పునాదిని నిర్మించటానికి ముందే చాలా పెద్దవారు కావడానికి, సాంకేతికంగా చెప్పాలంటే, ఆండ్రూ జోలిడెస్ , డిజిటల్ డిజైన్‌లో కోర్సులు బోధిస్తున్న జేవియర్ విశ్వవిద్యాలయంలో కమ్యూనికేషన్స్ ప్రొఫెసర్ అబ్జర్వర్‌కు చెప్పారు. (పార్లర్ పెట్టుబడిదారులలో మితవాద బిలియనీర్ రెబెకా మెర్సెర్ , పార్లర్ ప్రేక్షకులను పెంచడానికి ట్విట్టర్ మరియు ఫేస్‌బుక్‌లపై మితవాద కోపాన్ని ఉపయోగించుకోవడానికి ప్రయత్నించారు.)

ఏదైనా వెబ్‌సైట్ దాని గోప్యతా సమస్యలను కలిగి ఉన్నప్పటికీ, పార్లర్ చాలా పెద్దదిగా, చాలా వేగంగా మరియు సామర్థ్యం లేదా సాంకేతిక పరిజ్ఞానం కలిగి ఉండకపోవటం వంటి సమస్యగా కనిపిస్తోంది.

సాధారణంగా అనామకత్వం లేదా భద్రత గురించి ఆందోళన చెందుతున్న ఎవరికైనా స్వాగతించే అభివృద్ధిలో, ఇతర వెబ్‌సైట్లు పార్లర్ ఉచ్చును నివారించవచ్చు… అవి సాపేక్షంగా కొత్త మరియు చిన్న స్టార్టప్‌లు కానట్లయితే, అవి ట్విట్టర్ మరియు ఫేస్‌బుక్ వంటి స్థాపించబడిన దిగ్గజాలతో పోటీ పడటానికి ప్రయత్నిస్తాయి, ఇది పార్లర్ సరిగ్గా అదే .

అవును, పార్లర్ బాగా రూపకల్పన చేయబడి ఉండవచ్చు, కానీ వాస్తవికంగా చెప్పాలంటే, మీరు వారి ఉత్పత్తులలో బిలియన్ల మరియు బిలియన్ డాలర్లను పెట్టుబడి పెట్టిన పరిపక్వ సంస్థలతో పోటీ పడుతున్నప్పుడు జరిగే సమస్య ఇది, జోసెఫ్ స్టెయిన్బెర్గ్ అన్నారు , భద్రతా నిపుణుడు మరియు రచయిత డమ్మీస్ కోసం సైబర్‌ సెక్యూరిటీ . మీకు కావలసిన ప్రతిదాన్ని సురక్షితమైన పద్ధతిలో రూపొందించడానికి మీరు చాలా కష్టపడతారు. గూగుల్, ఆపిల్ మరియు అమెజాన్ సోషల్ నెట్‌వర్కింగ్ యాప్ పార్లర్‌ను సస్పెండ్ చేశాయి. యాప్ స్టోర్, గూగుల్ ప్లే మరియు అమెజాన్ వెబ్ సర్వీసెస్‌లో పార్లర్ అందుబాటులో లేదు, హింసను ప్రోత్సహించే యూజర్ పోస్ట్‌లపై తగినంత నియంత్రణ లేదని మీడియా తెలిపింది.జెట్టి ఇమేజెస్ ద్వారా పావ్లో గోంచర్ / సోపా ఇమేజెస్ / లైట్ రాకెట్ ద్వారా ఫోటో ఇలస్ట్రేషన్

మొదట, ఆరోపించిన హాక్ యొక్క పద్ధతి. AWS నుండి పార్లర్‌ను విడదీసే ముందు, @donk_enby హ్యాండిల్‌తో ఉన్న ట్విట్టర్ వినియోగదారు వెబ్‌సైట్ యొక్క యూజర్ డేటాను ఎలా డౌన్‌లోడ్ చేయాలో కనుగొన్నారు-ఇవన్నీ, పార్లర్ యూజర్లు కాపిటల్‌ను ఉల్లంఘించడం, అధికారులపై దాడి చేయడం మరియు మరింత హింసకు కుట్ర పన్నడం వంటి ఇతర బహిరంగ ఆధారాలతో పాటు , చాలా దోషపూరితమైనది, గిజ్మోడో నివేదించినట్లు .

@donk_enby చివరికి 56 టెరాబైట్ల విలువైన డేటాను దొంగిలించారు: ఫోటోలు, వీడియోలు మరియు టెక్స్ట్ పోస్ట్లు, వీటిలో చాలా GPS మెటాడేటాను కలిగి ఉన్నాయి, ఇవి పార్లర్ వినియోగదారులను జనవరి 6 న కాపిటల్ మరియు చుట్టుపక్కల ఉన్నవారికి సురక్షితమైన ప్రాంతాలతో సహా సానుకూలంగా ఉంచాయి. ఫెడరల్ అఫిడవిట్ల ప్రకారం, అల్లర్లలో పాల్గొనేవారిని గుర్తించడానికి మరియు పట్టుకోవటానికి ఈ డేటాలో కనీసం 56,000 గిగాబైట్లు used ఉపయోగించబడ్డాయి, అయితే ఫీడ్లు @ donk_envy యొక్క డేటా ట్రాన్చే ఉపయోగించినట్లు ఎటువంటి రుజువు లేదు.

కానీ అది ఎలా జరిగింది? @ డాంక్_ఎన్బీ లేదా మరొక హ్యాకర్ పార్లర్ అడ్మిన్ ఆధారాలను దొంగిలించి ఉండవచ్చని ప్రారంభ ulation హాగానాలు, ఇది చట్టవిరుద్ధమైన చర్య. అంగీకరించిన సిద్ధాంతం ఏమిటంటే ప్రారంభ నివేదించబడింది మరియు అనేక భద్రతా నిపుణులు వెబ్‌సైట్ డేటాను ఆర్కైవ్ చేయడానికి మరియు త్వరగా చేయటానికి పార్లర్ యొక్క స్వంత API దీనికి వ్యతిరేకంగా ఉపయోగించబడింది.

పార్లర్ యొక్క డిజైనర్లు ప్రామాణీకరణ అవసరం ద్వారా API కి ప్రాప్యతను పరిమితం చేయలేదు. బ్యాక్ ఎండ్‌లోని డేటాను యాక్సెస్ చేయడానికి వినియోగదారులకు నిర్దిష్ట ఆధారాలు అవసరం లేదు. అది అపారమైన వెనుక తలుపు తెరిచి ఉంది.

ప్రాథమిక భద్రతా ప్రోటోకాల్ గురించి చాలా వెబ్‌సైట్లు తెలుసుకోవడం, అభ్యర్థన హానికరం కాదని నిర్ధారించడానికి కొన్ని రకాల వినియోగదారు ప్రామాణీకరణ లేకుండా API కి ప్రాప్యతను అనుమతించదు. స్టార్టప్ ఎత్తి చూపినట్లుగా, రెండు సాధారణ ప్రామాణీకరణ పరిష్కారాలు API కీలు మరియు టోకెన్లు, ఈ రెండింటికి కొన్ని చెల్లుబాటు అయ్యే ఆధారాలు అవసరం, ఇవి డేటాను ఎవరు యాక్సెస్ చేస్తున్నాయో తెలుసుకోవడానికి వెబ్‌సైట్‌ను అనుమతిస్తాయి.

ప్రామాణీకరణ అవసరం లేదు తలుపు అజార్. ఆ పైన, పార్లర్ యొక్క డిజైనర్లు రేటు-పరిమితి మార్గంలో రక్షణ యొక్క రెండవ పొరను జోడించడానికి ఇబ్బంది పడలేదు - అంటే తలుపు అజార్ లేదా ఎడమ పగుళ్లకు బదులుగా, తలుపు విస్తృతంగా తెరిచి ఉంది.

ఆధారాలతో సంబంధం లేకుండా వినియోగదారు ఎంత డేటాను యాక్సెస్ చేయవచ్చో రేట్-పరిమితి పరిమితం చేస్తుంది. వెబ్ వినియోగదారులు 429 చాలా ఎక్కువ అభ్యర్ధన దోష సందేశాలను అడవిలో చూసారు, ఇది చాలా కొట్టుకోవడం లేదా తలుపు గుండా వెళ్ళే ప్రయత్నాలు జరిగాయి. పార్లర్‌కు ఇది లేదు, దీని అర్థం, ఒకసారి అసురక్షిత బ్యాక్ ఎండ్ యాక్సెస్ చేయబడినప్పుడు, @donk_enby కూడా 48 గంటల్లో పార్లర్ యొక్క డేటాను ఆర్కైవ్ చేయగలిగింది. (విచిత్రమేమిటంటే, ది స్టార్టప్ ఎత్తి చూపినట్లుగా, అమెజాన్ వెబ్ సర్వీస్‌కు ప్రాథమిక ఫైర్‌వాల్ ఎంపిక ఉంది, అది పార్లర్‌తో బాధపడటం లేదు.)

చివరగా, పార్లర్ దాని వినియోగదారులు తొలగించబడతారని నమ్మే పోస్ట్‌లను కూడా అనుమతించారు మరియు ఎవరైనా బ్యాక్ ఎండ్‌లో ఉన్నప్పుడు సులభంగా కనుగొనవచ్చు. ఘోరమైన అల్లర్ల తరువాత, కొంతమంది పార్లర్ వినియోగదారులు, వెబ్‌లో లభ్యమయ్యే సాక్ష్యాల గురించి తెలుసుకొని, జనవరి 6 నుండి తమ పోస్ట్‌లను తొలగించమని ఇతరులను ప్రోత్సహించారు.

పార్లర్ యొక్క అన్ని పోస్ట్‌లకు 1 ద్వారా పెరిగిన వరుస సంఖ్యలు ఇవ్వబడ్డాయి. ఆ పోస్ట్‌లు వినియోగదారు తొలగించినప్పటికీ, అవి వెనుక భాగంలోనే ఉన్నాయి. post డోంక్_ఎన్బీ ప్రతి పోస్ట్‌ను ఒక్కొక్కటిగా కనుగొని ఆర్కైవ్ చేసిన చాలా ప్రాథమిక లిపిని మాత్రమే వ్రాయవలసి ఉంది. ఫోటోలు మరియు వీడియోలు మరియు పోస్ట్‌ల నుండి అప్‌లోడ్ చేయడానికి ముందు జియో-ట్యాగ్ చేయబడిన డేటాను తొలగించడానికి పార్లర్ బాధపడటం లేదు కాబట్టి, ఆ సమాచారం కూడా ఆర్కైవ్ చేయడానికి వేచి ఉంది.

WordPress లేదా ఇతర హోస్టింగ్ సాఫ్ట్‌వేర్‌లను ఉపయోగించే ఇతర వెబ్‌సైట్‌లు ఇలాంటి భద్రతా లోపాలను కలిగి ఉండవచ్చు, కానీ ఆ భద్రతా లోపాలు అప్రమత్తమైన హ్యాకర్ల యొక్క ఆసక్తిగా మారడానికి మరియు అవి ఉల్లంఘించబడటానికి అవి అపఖ్యాతి పాలవుతాయి.

వెబ్‌సైట్‌లు భద్రతా లోపాలను కలిగి ఉండటం అసాధారణం కాదు, కొన్నిసార్లు ముఖ్యమైనవి గుర్తించబడవు, ఎందుకంటే అవి సాధారణమైన, తరచుగా ఆటోమేటెడ్ కంటే ఎక్కువ గీయడానికి తగినంత ప్రాచుర్యం పొందవు, వాటిని రాజీ చేయడానికి ప్రయత్నిస్తాయి, భద్రతా నిపుణుడు ఎరిక్ క్రోన్ అన్నారు నోబే 4 , ఒక ప్రముఖ భద్రతా పరిష్కార సంస్థ. సైట్ త్వరగా ప్రాచుర్యం పొందినప్పుడు, ఈ పరీక్షల యొక్క దృష్టి మరియు సంక్లిష్టత పెరుగుతాయి, ఇది తరచుగా ప్రమాదాలను కనుగొంటుంది.

ఈ దృగ్విషయానికి ఇటీవలి ఉదాహరణ జూమ్ అని క్రోన్ అన్నారు. COVID-19 మహమ్మారి అన్ని పనిని రిమోట్ పని చేసినప్పుడు, జూమ్ యొక్క గతంలో గుర్తించబడని భద్రతా లోపాలు కనుగొనబడ్డాయి, దోపిడీ చేయబడ్డాయి మరియు తరువాత త్వరగా అతుక్కొని ఉన్నాయి. పార్లర్‌తో, సెక్యూరిటీ విక్రేతలు తమ పూర్వపు క్లయింట్‌ను తొలగించడం ప్రారంభించినప్పుడు, వారు దాడి చేసేవారు, హాక్టివిస్టులు మరియు ఇతరులను లక్ష్యంగా చేసుకున్న సమయంలో పార్లర్‌ను బలహీనపరిచారు, క్రోన్ జోడించారు.

పార్లర్ ఇంకా చనిపోలేదు. వారాంతంలో, పార్లర్ యొక్క కొన్ని వెర్షన్ తిరిగి వచ్చింది ద్వేషపూరిత ప్రసంగాన్ని స్వాగతించే ఇతర అంచు సైట్‌లను హోస్ట్ చేసే అదే వెబ్ సర్వర్‌లలో. మంగళవారం సాయంత్రం నాటికి, సైట్ యొక్క హోమ్‌పేజీ a సాంకేతిక ఇబ్బందులు ల్యాండింగ్ పేజీ; సైట్ వ్యవస్థాపకుడు జాన్ మాట్జ్ ఫాక్స్ న్యూస్‌తో చెప్పారు వెబ్‌సైట్ ఈ నెలాఖరులోగా పూర్తిగా పనిచేయాలని యోచిస్తోంది (అయినప్పటికీ మొబైల్ వినియోగదారులు అనువర్తనానికి బదులుగా వెబ్ ఆధారిత సంస్కరణను ఉపయోగించి ఇరుక్కుపోతారు). ఆన్‌లైన్ కుడి-కుడి కోసం ఇతర గృహాలు ఉన్నాయి-అయినప్పటికీ, జోలిడెస్ ఎత్తి చూపినట్లుగా, గాబ్ వంటి స్వేచ్ఛా-ప్రసంగ ఫోరమ్‌లు పార్లర్ కంటే కంటెంట్ మోడరేషన్‌తో ఎక్కువ చురుకుగా ఉన్నాయి.

@Donk_enby పార్లర్ యొక్క డేటాను ఎలా యాక్సెస్ చేసాడు మరియు ఓపెన్-డోర్ సిద్ధాంతం సరిగ్గా ఏమి జరిగిందో అనే దానిపై మరిన్ని వివరాలు ఇంకా బయటపడవచ్చు. (మరియు సైబర్‌ సెక్యూరిటీ ప్రశ్న నుండి వేరుగా నిలబడటం నీతి సమస్యలు; ఉల్లంఘన లేదా హాక్, పార్లెర్ యొక్క యూజర్ డేటా ఇప్పటికీ దొంగిలించబడింది, స్టెయిన్‌బెర్గ్ చెప్పినట్లు, మరియు ఒక దోపిడీ జరుపుకోవడానికి ఏమీ లేదు.)

పార్లర్ యొక్క డేటా చెడ్డ రూపకల్పనతో జరిగిందని uming హిస్తే, ప్రస్తుతానికి, జనవరి 6 యొక్క ఆన్‌లైన్ కథ పునరావృతమయ్యే స్వీయ-నేరారోపణలలో ఒకటి: యుఎస్ కాపిటల్‌లో తిరుగుతున్న అన్‌మాస్క్డ్ అల్లర్లు, వారి విఫలమైన అదనపు ప్రణాళికలను సంతోషంగా మరియు బహిరంగంగా చర్చించడం, ఇంటర్నెట్‌కు దోషపూరిత సాక్ష్యాలను పోస్ట్ చేయడం అయితే, ఆ సాక్ష్యాన్ని అనామకంగా లేదా సురక్షితంగా ఉంచడానికి సిద్ధంగా లేని వెబ్‌సైట్‌కు.