Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Konserwatywno-prawicowy Parler – mega wyciek filmów, lokalizacji, prywatnych wpisów. Zhackowali czy nie zhackowali – oto jest pytanie…

12 stycznia 2021, 17:00 | Aktualności | komentarzy 8
Tagi: , ,

Uwaga: jeśli ktoś chce przejść od razu do sedna – to wystarczy zerknąć na sam koniec postu.

Zamiast wstępu – czym jest Parler?

Parler jest (był) alternatywą dla Twittera. Głównie skrzykiwali się tam fani Trumpa, czy ogólnie osoby o poglądach konserwatywnych. CNN opisuje platformę tak:

The social media platform has been heavily used by supporters of President Donald Trump, including some who participated in Wednesday’s US Capitol unrest. Many conservative politicians and media personalities have become active on Parler. Among those who have been active on Parler include Fox News host Sean Hannity, radio personality Mark Levin, far-right activist Laura Loomer, Senator Ted Cruz and Congressman Devin Nunes. Eric Trump also has an account verified by Parler as does Donald Trump’s presidential campaign.

Jeszcze inaczej – Parlera można traktować jako pewnego rodzaju prawicowe „schronienie” m.in. dla osób, które z różnych powodów czuły się dyskryminowane na innych social mediach.

Sam widząc bliski koniec Parlera (wyrzucenie go z Google Play / App store, a także wyrzucenie backendu przez AWS), założyłem tam dwa dni temu testowe konto – żeby mieć relację z pierwszej ręki (niestety nie zrobiłem żadnego wpisu – a przydałby się teraz do weryfikacji obecnego hacku czy incydentu).

Na początek zwracał uwagę dość toporny interfejs, a co więcej mimo prośby o podanie telefonu / emaila – żaden z nich nie był realnie weryfikowany (ponoć było to już związane z degradacją infrastruktury Parlera i problemami ze współpracą z Twilio).

Szczerze mówiąc to pierwsze moje wrażenie odnośnie Parlera – nie wygląda to zbyt porządnie/bezpiecznie.

Testowo „zafollowowałem” jakieś 10 polecanych osób i zerknąłem na komentarze.

Czy były one w zasadzie ewidentnie „prawicowe” – tak. Czy można było znaleźć hejt – tak. Czy były też komentarze „negatywne” odnośnie np. akcji na Kapitol – (o dziwo) – tak. Choć w zdecydowanej mniejszości. Kilka zrzutów ekranowych poniżej (względnie „losowo dobranych”).

Co z tym hackiem?

Była już o nim mowa w listopadzie 2020r. (zaczęło się od tego tweeta, który co ciekawe jest już „niedostępny”). Jest też ostrzeżenie żeby może za szybko nie wysuwać wniosków:

Są też i takie opinie (zdjęcie na Twitterze innego konta na Twitterze – kto tak cytuje? Nawet jeśli wyciekło hasło do bazy (czemu twórca Parlera później zaprzeczył) to nie oznacza jeszcze hacku; zazwyczaj sama baza nie jest dostępna bezpośrednio z Internetu).

Oryginalny screen cały czas dostępny jest tutaj.

Jest też i listopadowa odpowiedź od Parlera:

Nieco więcej informacji opublikował Audrey Cottle (związany m.in. z Anonymous; jego konto na Twitterze jest zawieszone, ale kopię wpisu udało się znaleźć w odpowiednich archiwach):

Tym razem jest mowa o niezabezpieczonym buckecie S3 i w zasadzie braku związku „hacku” ze screenem z WordPressa.

W końcu twórca Parlera przyznał, że doszło do ataku na zewnętrzną firmę („Political Media”), ale dane które wyciekły są w zasadzie publiczne (np. posty użytkowników aplikacji, które są dostępne).

Nie ma do tej pory chyba consensusu czy był to hack czy nie. Na pewno jest dziwne, że (chyba) nikt nie podał konkretnego dowodu (np. wprost udostępniona, odpowiednio ocenzurowana paczka danych).

Co się wydarzyło teraz?

Zaczęło się prawdopodobnie od tego tweetu:

Co mówi ten wpis? W skrócie: udało się przejąć konta administracyjne a następnie zdumpować całego Parlera (łącznie ze skasowanym contentem, do którego mieli dostęp admini).

Relacja z dumpowania wyglądała np. tak:

Co zostało dość mocno podchwycone przez media (choćby na reddicie jest sporo wpisów bijących kolejne rekordy popularności). Hasło przewodnie: Parler zhackowany.

Przy czym podobnie jak w przypadku historii listopadowej, mało osób pyta o jakieś dowody hacku. Gdzieniegdzie można znaleźć trochę krytycznych głosów:

This post seems fake. There was a group of people archiving the public content of parler using this docker container https://github.com/ArchiveTeam/parler-grab and archiving it here https://tracker.archiveteam.org/parler/.
I can’t validate anything else in this twitter post. The administrator accounts part all seems fake, unless anyone has found the rest of the content or has a better source?

Previous discussion deeming its fake here https://news.ycombinator.com/item?id=25725268

Tak czy siak, prawdą jest, że pokazało się w sieci repozytorium, zawierające m.in. linki do filmów wrzucanych na Parlera (jeszcze niedawno domena video.parler.com była dostępna – korzystając z dumpa zerknąłem na przykładowe trzy filmy – wyglądało to jak po prostu „zwykły” content dostępny w tego typu platformach).

Dla chętnych przykładowe adresy filmów dostępne są i tutaj:

Całość analizy utrudnia dodatkowo fakt, że cała infrastruktura Parlera (+appki) nie działają. W każdym razie przeglądając różne doniesienia najbardziej się składaniam ku temu wyjaśnieniu:

Czyli w skrócie – udało się zarchiwizować (brzydsze określenie: zescrapować) posty / inne materiały umieszczane na Parlerze. Również posty, które zostały oflagowane (jako „prywatne”).

W jaki sposób wyglądał proces archiwizacji? Identyfikatory postów/obrazów/video/itp były dostępne po podaniu zwykłej liczby, którą dodatkowo można było po prostu inkrementować (aby dostać kolejny zasób):

dumb Parler endpoints that let you put in an integer and it will turn it into a post/image/video (rather than making you know the random ID).

Skąd „lokalizacja wielu użytkowników” Parlera? Otóż część z nich uploadowała video czy obrazki z metadanymi zawierającymi geolokalizację:

Podsumowując, co Parler zrobił nie tak:

  • API umożliwiające dostęp do contentu po zwykłych indentyfikatorach
  • Brak limitu na żądania do API – uniemożliwiające scrapping
  • Brak automatycznego usuwania metadanych z uploadowanych zasobów (automatycznie robi to np. Twitter czy Facebook)

Można powiedzieć że w sumie „luz” – udało się komuś dostać do danych Parlera które i tak były dostępne publicznie. Przy czym jest tutaj jedna gwiazdka:

  • Co z „prywatnymi” czy „usuniętymi” postami? Tutaj prawdopodobnie API też dawało do nich dostęp. Choć mając samo API – nie było metody na odróżnienie który post jest prywatny, a który publiczny.

Jeden z cytowanych już nieco wcześniej badaczy całość podsumował tak:

W skrócie: udało się pobrać… tylko to co było publicznie. Nie mam waszych adresów e-mail, telefonów czy numerów kart kredytowych (chyba, że je sami wrzuciliście na Parlera).

No więc był hack czy nie było?

Jeśli dostęp był rzeczywiście tylko do publicznych danych oraz tak jak wskazuje sam badacz powyżej: nie wyciekły dane typu e-maile, hasła, telefony – czyli dane podawane przy rejestracji – to ciężko mówić o „hacku”.

Jeśli z kolei był dostęp poprzez API do skasowanych czy prywatnych wpisów – wtedy rzeczywiście spokojnie można użyć słowa „hack”. Ciężko jednak ten wątek teraz zweryfikować (bo cały system nie działa).

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ciapek

    Jestem wstanie uciąć sobie łapę że to nie „Zhakowanie”, tylko ktoś „upublicznił” ich repo.
    Pytanie gdzie?
    Amazon? Github?

    Odpowiedz
  2. Filip

    Nawalicie tych screenshotow i nie da sie tego czytac:( Nie mozecie przekleic kluczowego tesktu, dać italic i tyle?

    Odpowiedz
    • TLDR: zerknij na koniec postu

      Odpowiedz
      • Filip

        Doceniam TLDR, chodzi mi o to, ze ciezko (mi) się czyta taki układ, bo elementy graficzne sa nieco chaotyczne.

        Odpowiedz
        • Cała ta akcja jest też dość chaotyczna i do tego jeszcze w dwóch odsłonach.

          Na zasadzie – ktoś coś znalazł i stwierdził że to hack. Media kręcą afery, serwery rozgrzane do czerwoności. Później okazuje się, że nie było chyba hacku (np. przejęcie admina). Ludzie prostują. Później się okazuje ze da się jakieś dane ściągnąć (ale jakie? publiczne? Też niepubliczne?). Na koniec pokazuje się dopiero prawdopodobna droga dojścia do dziur(y). I rzeczywiście jest hack, ale trochę inny niż ludzie myśleli na początku. Chyba takie kronikarskie śledzenie rozwoju sytuacji to tylko dla koneserów ;)

          Odpowiedz
    • asdsad

      Tak, to jest tylko na Onecie i Pudelku.
      Jeśli nie oglądasz na wyświetlaczu lodówki, to wszystko wygląda normalnie.
      Niektórzy wolą zrzuty oryginalnych tekstów.

      Odpowiedz
    • Ja tam wole jak sa screeny

      Odpowiedz

Odpowiedz