Bug Dasar Yang Absurd Membiarkan Siapa Saja Mengambil Semua Data Parler


Media sosial platform Parler menjadi terkenal sebagai jalan keluar untuk kebebasan berbicara. Dalam praktiknya, ini menjadi surga bagi disinformasi, perkataan yang mendorong kebencian, dan seruan untuk melakukan kekerasan, jenis konten yang biasanya diblokir di platform yang lebih umum seperti Twitter dan Facebook. Namun, adil untuk mengatakan bahwa dengan “kebebasan berbicara”, pembuat situs tidak berarti bahwa siapa pun dapat dengan bebas mengunduh setiap pesan, foto, dan video yang diposting ke situs, termasuk data geolokasi sensitif. Tetapi bug yang sangat mendasar dalam arsitektur Parler tampaknya telah membuatnya terlalu mudah untuk melakukan hal itu.

Minggu larut malam, Parler offline setelah Amazon Web Services memutuskan hosting untuk outlet media sosial, keputusan yang mengikuti penggunaan situs sebagai alat untuk merencanakan dan mengoordinasikan invasi massa pro-Trump yang pemberontak ke gedung Capitol AS minggu lalu. Pada hari dan jam sebelum penutupan itu, sekelompok peretas bergegas mengunduh dan mengarsipkan situs, mengunggah lusinan terabyte data Parler ke Internet Archive. Salah satu peretas nama samaran yang memimpin upaya dan hanya menggunakan akun twitter @donk_enby mengatakan kepada Gizmodo bahwa grup tersebut telah berhasil mengarsipkan “99 persen” dari konten publik situs tersebut, yang katanya mencakup sekumpulan bukti yang “sangat memberatkan” tentang siapa yang berpartisipasi dalam serangan Capitol dan bagaimana caranya.

Pada hari Senin, rumor beredar di Reddit dan di media sosial bahwa pembongkaran massal data Parler telah dilakukan dengan mengeksploitasi kerentanan keamanan dalam otentikasi dua faktor situs yang memungkinkan peretas untuk membuat “jutaan akun” dengan hak istimewa administrator. Kebenarannya jauh lebih sederhana: Parler tidak memiliki langkah-langkah keamanan paling dasar yang akan mencegah pengikisan otomatis data situs. Ia bahkan mengurutkan postingnya berdasarkan nomor di URL situs, sehingga siapa pun dapat dengan mudah mengunduh jutaan posting situs secara terprogram.

Dosa keamanan utama Parler dikenal sebagai referensi objek langsung yang tidak aman, kata Kenneth White, insinyur keamanan untuk MongoDB yang melihat kode alat unduh @donk_enby yang diposting online. IDOR terjadi ketika peretas dapat dengan mudah menebak pola yang digunakan aplikasi untuk merujuk ke data yang disimpan. Dalam kasus ini, posting di Parler hanya terdaftar dalam urutan kronologis: Tingkatkan nilai di url posting Parler satu per satu, dan Anda akan mendapatkan posting berikutnya yang muncul di situs. Parler juga tidak memerlukan otentikasi untuk melihat kiriman publik dan tidak menggunakan “pembatasan tarif” yang akan memotong siapa pun yang mengakses terlalu banyak kiriman terlalu cepat. Bersama dengan masalah IDOR, itu berarti bahwa setiap peretas dapat menulis skrip sederhana untuk menjangkau server web Parler dan menghitung serta mengunduh setiap pesan, foto, dan video dalam urutan yang mereka posting.

“Ini hanya urutan lurus, yang membuat saya mati rasa,” kata White. “Ini seperti pekerjaan rumah yang buruk dalam Ilmu Komputer 101, hal yang akan Anda lakukan saat pertama kali mempelajari cara kerja server web. Saya bahkan tidak akan menyebutnya sebagai kesalahan pemula karena, sebagai seorang profesional, Anda tidak akan pernah tulis sesuatu seperti ini. “

Layanan seperti Twitter, sebaliknya, mengacak URL kiriman sehingga tidak dapat ditebak. Dan meskipun mereka menawarkan API yang memberi pengembang akses ke tweet secara massal, mereka dengan hati-hati membatasi akses ke API tersebut. Sebaliknya, Parler tidak memiliki otentikasi untuk API yang menawarkan akses ke semua konten publiknya, kata Josh Rickard, seorang insinyur keamanan untuk perusahaan keamanan Swimlane. “Sejujurnya, ini tampak seperti kekeliruan, atau hanya kemalasan,” kata Rickard, yang mengatakan bahwa dia menganalisis arsitektur keamanan Parler dalam kapasitas pribadi. “Mereka tidak berpikir tentang seberapa besar yang akan mereka dapatkan, jadi mereka tidak melakukannya dengan benar.”

Diposting oleh : SGP Prize