[ad_1]

شبکه های اجتماعی سکوی پارلر به عنوان خروج از آزادی بیان شناخته شد. در واقع ، این به پناهگاهی برای اطلاعات غلط ، سخنان نفرت انگیز و درخواست های خشونت آمیز تبدیل شده است ، نوعی از محتوا که معمولاً در سیستم عامل های معروف تری مانند توییتر و فیس بوک مسدود می شود. منصفانه است که بگوییم در بخش “آزادی بیان” سازندگان سایت به این معنا نیستند که کسی در بارگیری هرگونه پیام ، عکس و ویدئو از طریق داده های حساس موقعیت جغرافیایی آزاد است. اما به نظر می رسد هنوز یک نقص بسیار مهم در معماری Parler انجام این کار را آسان کرده است.

اواخر یکشنبه شب ، پارلر پس از قطع خدمات میزبانی وب در آمازون ، از شبکه آفلاین رفت و این تصمیم پس از استفاده از این سایت به عنوان ابزاری برای برنامه ریزی و هماهنگی حمله به حمله شورشیان طرفدار ترامپ به ساختمان کاپیتول ایالات متحده در هفته گذشته بود. در روزها و ساعت ها قبل از خاموش شدن ، گروهی از هکرها برای بارگیری و بایگانی سایت بالا رفتند و ده ها ترابایت داده از Parler را به بایگانی اینترنت بارگذاری کردند. یک هکر مستعار که تلاش را رهبری می کند و فقط از فرمان توییترdonk_enby تبعیت می کند به Gizmodo گفت که این گروه با موفقیت “99 درصد” از محتوای عمومی سایت را بایگانی کرده است ، که طبق گفته های وی بسیاری از شواهد “بسیار متهم” در مورد اینکه چه کسی است را شامل می شود. در حمله به پایتخت و چگونه شرکت کرد.

تا روز دوشنبه ، شایعات در Reddit و رسانه های اجتماعی مبنی بر حذف گسترده اطلاعات Parler از طریق استفاده از آسیب پذیری های امنیتی در احراز هویت دو عاملی سایت ، که به هکرها اجازه می دهد “میلیون ها حساب” با حقوق اداری ایجاد کنند ، منتشر شد. حقیقت بسیار ساده تر بود: پارلر فاقد ابتدایی ترین اقدامات امنیتی برای جلوگیری از پاره شدن خودکار سایت بود. او حتی تعداد پست های خود را در نشانی های اینترنتی سایت قرار داد تا همه بتوانند به راحتی ، به صورت برنامه ای میلیون ها پست را در سایت بارگیری کنند.

کنت وایت ، مهندس امنیتی MongoDB که بارگیریdonk_enby ابزار بارگیری را بررسی کرد ، گفت: گناه اساسی امنیتی پارلر به عنوان اشاره مستقیم ناامن به یک شی شناخته می شود. IDOR زمانی رخ می دهد که یک هکر به سادگی می تواند مدلی را که برنامه برای مراجعه به داده های ذخیره شده خود استفاده می کند حدس بزند. در این حالت ، پست های Parler به سادگی به ترتیب زمانی لیست شده اند: مقدار را در آدرس پست الکترونیکی Parler یکی افزایش دهید و پست بعدی را که در سایت ظاهر می شود ، دریافت خواهید کرد. پارلر همچنین برای مشاهده پست های عمومی احتیاج به احراز هویت ندارد و از هر نوع “محدودیت سرعت” که باعث قطع سریع هر کس به تعداد زیادی پست شود ، استفاده نمی کند. همراه با مشکل IDOR ، این بدان معنی است که هر هکر می تواند با نوشتن یک اسکریپت ساده به وب سرور Parler متصل شود و هر پیام ، عکس و فیلم را به ترتیب انتشار آنها لیست و بارگیری کند.

وایت گفت: “این فقط یک سکانس ساده است که برای من گیج کننده است.” “این مانند یک تکالیف بد در علوم کامپیوتر 101 است ، نوعی کاری که شما هنگام یادگیری نحوه کار سرورهای وب انجام می دهید. من حتی آن را اشتباه تازه کار نمی نامم ، زیرا به عنوان یک حرفه ای هرگز چنین چیزی نمی نویسید.”

از طرف دیگر سرویس هایی مانند توییتر ، آدرس های اینترنتی پست ها را تصادفی می کنند تا حدس زده نشوند. و در حالی که آنها رابط های برنامه کاربردی (API) ارائه می دهند که به توسعه دهندگان دسترسی گسترده ای به توییت ها می دهد ، اما دسترسی آنها را با دقت محدود می کنند. در مقابل ، Parler فاقد احراز هویت API است که دسترسی به تمام محتوای عمومی آن را فراهم می کند ، گفت: جاش ریکمن ، مهندس امنیت در شرکت امنیتی Swimlane. ریكمن كه می گفت معماری امنیتی پارلر را به روشی شخصی تجزیه و تحلیل می كند ، گفت: “صادقانه بگویم ، به نظر می رسید نظارت یا فقط تنبلی است.” آنها فکر نمی کردند که چقدر بزرگ می شوند ، بنابراین این کار را درست انجام ندادند. “

[ad_2]

منبع: sadeh-news.ir