Parler, rip-off Twitter itu menjabat sebagai salah satu alat pengorganisasian utama bagi para fanatik Donald Trump yang menyerbu US Capitol pada 6 Januari, telah sebagian besar offline selama lebih dari seminggu. Tetapi bahkan dalam mati suri, rumah online pilihan untuk QAnon, Proud Boys, dan elemen sayap kanan Amerika lainnya masih menimbulkan masalah.
Keputusan oleh Amazon, Apple, dan Google untuk berhenti menghosting situs dan melarang pengguna seluler mengunduh aplikasi telah memicu teriakan sensor Big Tech. Amandemen Pertama dan politik regulasi internet, cara Parler membocorkan data saat keluar dari pintu menimbulkan pertanyaan keamanan siber yang serius serta kekhawatiran tentang apakah pemain lain di internet memiliki pelanggaran data di masa depan mereka.
Meskipun tidak mungkin untuk memverifikasi tanpa mengintip di bawah kap Parler — tugas yang sekarang tidak mungkin karena situs web sedang offline — narasi yang berlaku adalah bahwa kelemahan keamanan Parler (atau kelemahan) memungkinkan peretas topi putih untuk mengunduh dan mengarsipkan semua data pengguna Parler segera sebelum Amazon Web Services menarik steker pada hosting situs. Di antara data yang disajikan untuk diakses oleh publik (dan penegak hukum) termasuk, dalam beberapa kasus, data lokasi yang berpotensi memberatkan.
Berbicara mengandalkan Worpress , sistem manajemen konten yang paling banyak digunakan di dunia. Itu telah menimbulkan spekulasi bahwa WordPress adalah bagian dari cacat dan bahwa siapa pun yang menggunakan WordPress berada dalam bahaya. Namun, menurut konsensus umum para pakar keamanan siber , termasuk beberapa yang dihubungi untuk artikel ini, pelanggaran data Parler tidak terjadi hanya karena Parler menggunakan WordPress. Sebaliknya, data pengguna Parler bocor karena CEO John Matze dan arsitek situs meninggalkan kelemahan besar pada API Parler, hubungan antara front-end Parler dan data penggunanya.
Lihat juga: Elon Musk Salahkan Facebook dan Mark Zuckerberg Atas Kerusuhan Capitol
Keyakinan utama adalah bahwa Parler adalah desain yang terburu-buru dan buruk yang didukung oleh investor sayap kanan untuk menjadi cukup besar sebelum mereka benar-benar membangun fondasi yang kokoh, secara teknologi, Andrew Zolides , seorang profesor komunikasi di Universitas Xavier yang mengajar kursus desain digital mengatakan kepada Braganca. (Di antara investor Parler adalah miliarder sayap kanan Rebekah Mercer , yang mencoba memanfaatkan kemarahan sayap kanan di Twitter dan Facebook untuk menumbuhkan audiens Parler.)
Sementara situs web mana pun memiliki masalah privasi, Parler tampaknya menjadi masalah yang terlalu besar, terlalu cepat dan tidak memiliki kemampuan atau pengetahuan teknis untuk benar-benar mempersiapkannya, tambah Zolides.
Dalam perkembangan yang disambut baik bagi siapa pun yang peduli tentang anonimitas atau keamanan secara umum, situs web lain dapat menghindari perangkap Parler… asalkan mereka bukan perusahaan rintisan yang relatif baru dan kecil yang mencoba bersaing dengan raksasa mapan seperti Twitter dan Facebook, persis seperti yang dilakukan Parler .
Ya, Parler dapat dirancang dengan lebih baik, tetapi secara realistis, ini adalah masalah yang terjadi ketika Anda bersaing dengan perusahaan dewasa yang telah menginvestasikan miliaran dolar ke dalam produk mereka, kata Joseph Steinberg , pakar keamanan dan penulis Keamanan siber untuk Dummies . Anda akan mengalami kesulitan merancang semua yang Anda inginkan dengan cara yang aman. 
Google, Apple dan Amazon telah menangguhkan aplikasi jejaring sosial Parler. Parler menjadi tidak tersedia di App Store, Google Play dan Amazon Web Services, dilaporkan seperti yang dikatakan kontrol yang tidak memadai atas posting pengguna yang mendorong kekerasan, dilaporkan oleh media.Ilustrasi Foto oleh Pavlo Gonchar/SOPA Images/LightRocket via Getty Images
Pertama, metode dugaan peretasan. Sebelum Parler ditarik dari AWS, seorang pengguna Twitter dengan nama @donk_enby menemukan cara mengunduh data pengguna situs web—yang semuanya, bersama dengan bukti publik lainnya tentang pengguna Parler yang melanggar Capitol, menyerang petugas, dan merencanakan kekerasan lebih lanjut , berpotensi sangat memberatkan, seperti yang dilaporkan Gizmodo .
@donk_enby akhirnya mengambil 56 terabyte data: foto, video, dan posting teks, banyak di antaranya termasuk beberapa metadata GPS yang secara positif menempatkan pengguna Parler di dalam dan sekitar Capitol pada 6 Januari, termasuk di area aman. Setidaknya beberapa dari data ini—56.000 gigabyte—telah digunakan untuk mengidentifikasi dan menangkap peserta kerusuhan, menurut pernyataan tertulis federal, tetapi tidak ada bukti positif bahwa FBI menggunakan tahapan data @donk_envy.
Tapi bagaimana itu dilakukan? Spekulasi awal berdengung bahwa @donk_enby atau peretas lain mungkin telah mencuri kredensial admin Parler, yang akan menjadi tindakan ilegal. Teori yang diterima adalah bahwa, sebagai Startup dilaporkan dan beberapa pakar keamanan telah menguraikan, sebagai gantinya, API Parler sendiri digunakan untuk mengarsipkan data situs web—dan melakukannya dengan cepat.
Perancang Parler tidak membatasi akses ke API dengan meminta otentikasi. Pengguna tidak memerlukan kredensial khusus untuk mengakses data di bagian belakang. Itu meninggalkan pintu belakang yang sangat besar terbuka.
Sebagian besar situs web yang mengetahui protokol keamanan dasar tidak mengizinkan akses ke API tanpa beberapa bentuk otentikasi pengguna untuk memastikan permintaan tersebut tidak berbahaya. Seperti yang ditunjukkan oleh The Startup, dua solusi otentikasi umum adalah kunci dan token API, keduanya memerlukan beberapa kredensial yang valid yang juga memungkinkan situs web untuk mengetahui siapa yang mengakses data.
Tidak ada persyaratan otentikasi yang membuat pintu terbuka. Selain itu, para desainer Parler tidak perlu repot-repot menambahkan lapisan pertahanan kedua dengan cara membatasi laju—artinya, alih-alih pintu terbuka atau dibiarkan retak, pintu itu terbuka lebar.
Pembatasan tingkat membatasi berapa banyak data yang dapat diakses pengguna terlepas dari kredensialnya. Pengguna web mungkin telah melihat pesan kesalahan 429 Too Many Request di alam liar, yang merupakan tanda bahwa ada terlalu banyak ketukan atau upaya untuk melewati pintu. Parler juga tidak memiliki ini, yang berarti bahwa setelah back end yang tidak aman diakses, @donk_enby juga dapat mengarsipkan data Parler dalam waktu 48 jam. (Anehnya, seperti yang ditunjukkan oleh The Startup, Amazon Web Service memiliki opsi firewall dasar yang tampaknya tidak mengganggu Parler.)
Akhirnya, Parler juga mengizinkan posting yang diyakini penggunanya telah dihapus agar tersedia dan mudah ditemukan begitu seseorang berada di bagian belakang. Setelah kerusuhan mematikan, beberapa pengguna Parler, yang mengetahui banyak bukti yang tersedia di web, mendorong orang lain untuk menghapus posting mereka mulai 6 Januari.
Semua posting Parler diberi nomor urut yang meningkat 1. Bahkan ketika posting tersebut dihapus oleh pengguna, mereka tetap berada di belakang. @donk_enby tampaknya hanya perlu menulis skrip yang sangat mendasar yang ditemukan dan diarsipkan setiap posting, satu per satu. Dan karena Parler tidak repot-repot menghapus data yang diberi tag geo dari foto dan video dan pos sebelum diunggah, informasi itu juga menunggu untuk diarsipkan.
Ada kemungkinan bahwa situs web lain yang menggunakan WordPress atau perangkat lunak hosting lainnya mungkin memiliki kelemahan keamanan yang serupa, tetapi mereka juga mungkin tidak cukup terkenal untuk membuat kelemahan keamanan tersebut menjadi kepentingan peretas main hakim sendiri dan dengan demikian dilanggar.
Tidak jarang situs web memiliki kelemahan keamanan, terkadang yang signifikan, yang luput dari perhatian karena tidak cukup populer untuk menarik lebih dari upaya sederhana, sering otomatis, untuk mengkompromikannya, kata Erich Kron, pakar keamanan dengan TahuBe4 , sebuah perusahaan solusi keamanan terkemuka. Ketika situs menjadi populer dengan cepat, fokus dan kompleksitas tes ini meningkat, sering kali menyebabkan kerentanan ditemukan.
Salah satu contoh terbaru dari fenomena ini, kata Kron, adalah Zoom. Ketika pandemi COVID-19 membuat semua pekerjaan jarak jauh, kelemahan keamanan Zoom yang sebelumnya tidak terdeteksi ditemukan, dieksploitasi, dan kemudian dengan cepat ditambal. Tetapi dengan Parler, ketika vendor keamanan mulai meninggalkan klien mereka sebelumnya, Parler rentan pada saat mereka juga menjadi target penyerang, peretas, dan lainnya, tambah Kron.
Parler belum mati. Selama akhir pekan, beberapa versi Parler kembali di server web yang sama yang menghosting situs pinggiran lainnya yang menyambut ujaran kebencian. Hingga Selasa malam, beranda situs adalah halaman arahan kesulitan teknis; pendiri situs John Matze kepada Fox News situs web berencana untuk berfungsi penuh pada akhir bulan (meskipun pengguna seluler kemungkinan akan terjebak menggunakan versi berbasis web alih-alih aplikasi). Dan ada rumah lain untuk sayap kanan online — meskipun, seperti yang ditunjukkan Zolides, forum yang berfokus pada kebebasan berbicara seperti Gab lebih proaktif dengan moderasi konten daripada Parler.
Detail lebih lanjut mungkin akan muncul tentang bagaimana @donk_enby mengakses data Parler dan apakah teori pintu terbuka persis seperti yang terjadi. (Dan berdiri terpisah dari pertanyaan keamanan siber adalah masalah etika; pelanggaran atau peretasan, data pengguna Parler masih dicuri, seperti yang dikatakan Steinberg, dan pencurian bukanlah hal yang patut dirayakan.)
Dengan asumsi data Parler dibuat dengan desain yang buruk, untuk saat ini, kisah online tanggal 6 Januari adalah salah satu dari tuduhan diri yang berulang: perusuh yang tidak bertopeng berkeliaran di US Capitol, dengan gembira dan terbuka mendiskusikan rencana tambahan mereka yang gagal, memposting bukti yang memberatkan ke internet semua sementara itu, ke situs web yang tidak siap untuk menyimpan bukti itu secara anonim atau aman.
