ઇન્ટરનેટનું સૌથી મોટું પ્લેટફોર્મ, વર્ડપ્રેસ પર પાર્લરને હેક કરવામાં આવ્યું હતું. શું દરેક જણ જોખમમાં છે?

પાર્લર, તે ટ્વિટર ફાડી કા .ે છે ડોનાલ્ડ ટ્રમ્પ કટ્ટરપંથીઓ માટેનું એક મુખ્ય આયોજન સાધન તરીકે સેવા આપી હતી 6 જાન્યુઆરીએ યુ.એસ. કેપિટોલમાં કોણે હુમલો કર્યો હતો મોટા પ્રમાણમાં offlineફલાઇન એક અઠવાડિયા કરતાં વધુ સમય માટે. પરંતુ સસ્પેન્ડેડ એનિમેશનમાં પણ, ક્યુએનન, ગૌરવના છોકરાઓ, અને અમેરિકન દૂરના-બીજા તત્વો માટે પસંદ કરેલું onlineનલાઇન ઘર હજી પણ મુશ્કેલી creatingભી કરી રહ્યું છે.

એમેઝોન, Appleપલ અને ગૂગલ દ્વારા સાઇટનું હોસ્ટિંગ છોડી દેવા અને મોબાઇલ વપરાશકર્તાઓને એપ્લિકેશન ડાઉનલોડ કરવા પર પ્રતિબંધ મૂકવાના નિર્ણયોએ બિગ ટેક સેન્સરશીપની બુમો ઉશ્કેર્યા છે. પહેલું સુધારો અને ઇન્ટરનેટ નિયમન રાજકારણ, બાજુએ બહાર નીકળવાની રીતથી, પાર્લર દ્વારા ડેટાને બહાર કાbersવાની રીતથી ગંભીર સાયબર સિક્યુરિટી પ્રશ્નો ઉભા થાય છે અને સાથે સાથે ઇન્ટરનેટ પરના અન્ય ખેલાડીઓના ભવિષ્યમાં ડેટા ભંગ થાય છે કે કેમ તેની ચિંતા પણ કરે છે.

જોકે, પાર્લરની હૂડ હેઠળ ડોકિયું કર્યા વિના તે ચકાસવું અશક્ય છે - વેબસાઇટ હવે offlineફલાઇન હોવાથી એક કાર્ય હવે અશક્ય છે - પ્રવર્તમાન કથા એ છે કે પાર્લર સિક્યુરિટી ફ્લો (અથવા ભૂલો) એ વ્હાઇટ-ટોપી હેકરને ટૂંક સમયમાં જ પાર્લરના બધા વપરાશકર્તા ડેટાને ડાઉનલોડ અને આર્કાઇવ કરવાની મંજૂરી આપી છે. એમેઝોન વેબ સર્વિસીસે સાઇટ હોસ્ટિંગ પર પ્લગ ખેંચ્યા તે પહેલાં. સમાવિષ્ટ accessક્સેસ કરવા માટે જાહેર (અને કાયદાના અમલ) માટે પ્રસ્તુત ડેટામાં, કેટલાક કિસ્સાઓમાં, સંભવિત રૂપે સ્થાનને લગતા ડેટાને નુકસાનકારક છે.

બોલો વર્પ્રેસ પર આધાર રાખ્યો , વિશ્વની સૌથી વધુ વપરાતી સામગ્રી મેનેજમેન્ટ સિસ્ટમ. તેનાથી એવી અટકળો શરૂ થઈ છે કે વર્ડપ્રેસ આ ભૂલોનો એક ભાગ હતો અને વર્ડપ્રેસનો ઉપયોગ કરનાર કોઈ પણ જોખમમાં હતું. જો કે, સાયબરસક્યુરિટી નિષ્ણાતોની સામાન્ય સર્વસંમતિ અનુસાર , આ લેખ માટે ઘણા સંપર્ક કરેલા સહિત, પાર્લરનો ડેટા ભંગ ફક્ત એટલા માટે થયો ન હતો કારણ કે પાર્લરએ વર્ડપ્રેસનો ઉપયોગ કર્યો હતો. તેના બદલે, પાર્લરનો વપરાશકર્તા ડેટા લીક થયો કારણ કે સીઈઓ જ્હોન મેત્ઝે અને સાઇટના આર્કિટેક્ટ્સે પાર્લરના એપીઆઈમાં મોટી ભૂલો છોડી દીધી, જે પાર્લરના ફ્રન્ટ-એન્ડ અને તેના વપરાશકર્તા ડેટા વચ્ચેની કડી છે.

આ પણ જુઓ: એલોન મસ્ક એ ફેસબુક અને માર્ક ઝુકરબર્ગને કેપિટોલ રાયોટ માટે દોષિત ઠેરવ્યા

મુખ્ય માન્યતા એ છે કે પાર્લર, તકનીકી રીતે બોલતા પહેલા, નક્કર પાયો બનાવ્યો તે પહેલાં જમણેરી વૃત્તિવાળા રોકાણકારો દ્વારા આકર્ષિત, નબળી ડિઝાઇન હતી. એન્ડ્ર્યુ ઝોલાઇડ્સ , ઝેવિયર યુનિવર્સિટીના કોમ્યુનિકેશન્સના પ્રોફેસર, જે ડિજિટલ ડિઝાઇનમાં અભ્યાસક્રમો શીખવે છે. (પાર્લરના રોકાણકારોમાં જમણેરી અબજોપતિ રિબેકા મર્સર છે , જેમણે પાર્લરના પ્રેક્ષકોને વધારવા માટે ટ્વિટર અને ફેસબુક પર જમણેરી ક્રોધને કમાવવાનો પ્રયાસ કર્યો.)

જ્યારે કોઈપણ વેબસાઇટની ગોપનીયતાની ચિંતા હોય છે, ત્યારે પાર્લર ખૂબ મોટું થાય છે, ખૂબ ઝડપી થાય છે અને ખરેખર તેની તૈયારી કરવાની ક્ષમતા અથવા તકનીકી જાણકારી હોતી નથી તેવું લાગે છે.

સામાન્ય રીતે અનામી અથવા સલામતી વિશે ચિંતિત કોઈપણ વ્યક્તિના સ્વાગત વિકાસમાં, અન્ય વેબસાઇટ્સ પાર્લરની જાળને ટાળી શકે છે ... જો કે તેઓ પ્રમાણમાં નવા અને નાના સ્ટાર્ટઅપ ન હોય જેઓ ટ્વિટર અને ફેસબુક જેવા સ્થાપિત ગોળાઓ સાથે સ્પર્ધા કરવાનો પ્રયાસ કરે, જે બરાબર તે જ હતું .

હા, પાર્લર વધુ સારી રીતે ડિઝાઇન કરી શક્યું હોત, પરંતુ વાસ્તવિક રીતે કહીએ તો, આ તે પ્રકારની સમસ્યા છે જ્યારે તમે પરિપક્વ કંપનીઓ સામે હરીફાઈ કરી રહ્યા હોવ કે જેમણે તેમના ઉત્પાદનોમાં અબજો અને અબજો ડોલરનું રોકાણ કર્યું છે, જોસેફ સ્ટેનબર્ગે કહ્યું , સુરક્ષા નિષ્ણાત અને ના લેખક ડમીઝ માટે સાયબર સલામતી . તમને સલામત ફેશનમાં જોઈએ છે તે દરેક વસ્તુની ડિઝાઇન કરવામાં તમારી પાસે સખત સમય હશે. ગૂગલ, Appleપલ અને એમેઝોન સોશિયલ નેટવર્કિંગ એપ્લિકેશન પાર્લરને સસ્પેન્ડ કરી દીધા છે. પાર્લર એપ સ્ટોર, ગૂગલ પ્લે અને એમેઝોન વેબ સર્વિસીસમાં અનુપલબ્ધ બન્યું, અહેવાલ મુજબ મીડિયા દ્વારા હિંસાને પ્રોત્સાહન આપતી વપરાશકર્તા પોસ્ટ્સ પર અપૂરતું નિયંત્રણ.ગેટ્ટી છબીઓ દ્વારા પાવલો ગોંચર / સોપા છબીઓ / લાઇટ રોકેટ દ્વારા ફોટો ઇલસ્ટ્રેશન

પ્રથમ, કથિત હેક માટેની પદ્ધતિ. પાર્લરને એડબ્લ્યુએસથી હાંકી કા Beforeવામાં આવે તે પહેલાં, @donk_enby હેન્ડલ સાથેના એક ટ્વિટર વપરાશકર્તાએ વેબસાઇટનો વપરાશકર્તા ડેટા કેવી રીતે ડાઉનલોડ કરવો તે શોધી કા—્યું - આ બધા સાથે, પાર્લર વપરાશકર્તાઓએ કેપિટોલનો ભંગ કરનારા, અધિકારીઓ પર હુમલો કરવો, અને વધુ હિંસાની કાવતરું ઘડ્યું હતું. , સંભવિત ખૂબ જ ગુનાહિત હતું, જેમ ગિજમોડો અહેવાલ આપ્યો છે .

@ ડોન્ક_એનબીએ આખરે te 56 ટેરાબાઇટનો ડેટા છીનવી લીધો: ફોટા, વિડિઓઝ અને ટેક્સ્ટ પોસ્ટ્સ, જેમાંના કેટલાકમાં કેટલાક જી.પી.એસ. મેટાડેટા શામેલ છે, જેમાં સુરક્ષિત જગ્યાઓ સહિત, January જાન્યુઆરીએ પાર્લરના વપરાશકર્તાઓને કેપીટલમાં અને આસપાસમાં સકારાત્મક રૂપે મૂકવામાં આવ્યા હતા. સંઘીય સોગંદનામા મુજબ, ઓછામાં ઓછા આ ડેટામાંથી કેટલાક — ——,૦૦૦ ગીગાબાઇટ્સ ri નો ઉપયોગ તોફાનોના સહભાગીઓને ઓળખવા અને પકડવા માટે કરવામાં આવ્યાં છે, પરંતુ ફેડ્સએ @ donk_envy ની ડેટા ટ્રેંચનો ઉપયોગ કર્યો હોવાનો કોઈ પુરાવો સકારાત્મક નથી.

પરંતુ તે કેવી રીતે કરવામાં આવ્યું? પ્રારંભિક અટકળોએ ગૂંજ્યું હતું કે @donk_enby અથવા બીજા હેકરે પાર્લર એડમિન ઓળખપત્રો ચોરી કરી શકે છે, જે ગેરકાયદેસર કૃત્ય હશે. સ્વીકૃત સિદ્ધાંત તે છે, જેમ કે સ્ટાર્ટઅપ અહેવાલ અને કેટલાક સુરક્ષા નિષ્ણાતોએ દર્શાવેલ છે, તેના બદલે, વેબસાઇટનો ડેટા આર્કાઇવ કરવા માટે અને તેથી ઝડપથી કરવા માટે, તેની સામે પાર્લરની પોતાની API નો ઉપયોગ કરવામાં આવ્યો હતો.

પાર્લરના ડિઝાઇનરોએ સત્તાધિકરણની જરૂરિયાત દ્વારા API માં પ્રવેશ પર પ્રતિબંધ મૂક્યો ન હતો. વપરાશકર્તાઓને પાછળના છેડેથી ડેટાને toક્સેસ કરવા માટે ચોક્કસ ઓળખપત્રોની જરૂર નહોતી. તે પાછળનો પ્રચંડ દરવાજો ખુલ્લો છોડી દીધો.

મૂળભૂત સુરક્ષા પ્રોટોકોલથી વાકેફ મોટાભાગની વેબસાઇટ્સ વિનંતી દૂષિત નથી તેની સુનિશ્ચિત કરવા માટે, યુઝર autheથેંટીફિકેશનના કેટલાક સ્વરૂપો વિના API માં accessક્સેસની મંજૂરી આપતા નથી. સ્ટાર્ટઅપ દ્વારા નિર્દેશ મુજબ, બે સામાન્ય ntથેંટીકેશન સોલ્યુશન્સ એ API કીઓ અને ટોકન્સ છે, આ બંનેને કેટલાક માન્ય ઓળખપત્રોની જરૂર હોય છે જે વેબસાઇટને ડેટાને knowક્સેસ કરી રહી છે તે જાણવાની મંજૂરી આપે છે.

કોઈ પ્રમાણીકરણ આવશ્યકતા બારણું અજર છોડી શકતી નથી. તેની ટોચ પર, પાર્લરના ડિઝાઇનરોએ દર-મર્યાદાના માર્ગમાં સંરક્ષણનો બીજો સ્તર ઉમેરવાની તસ્દી લીધી ન હતી - એટલે કે દરવાજાના અજરને અથવા ડાબી બાજુ તિરાડને બદલે, દરવાજો પહોળો હતો.

પ્રમાણપત્રોને ધ્યાનમાં લીધા વિના વપરાશકર્તા કેટલા ડેટાને canક્સેસ કરી શકે છે તે મર્યાદિત દરને મર્યાદિત કરે છે. વેબ વપરાશકર્તાઓએ જંગલમાં 429 ઘણાં વિનંતીઓ ભૂલ સંદેશાઓ જોયા હશે, જે આ સંકેત છે કે દરવાજામાંથી પસાર થવા માટે ઘણી બધી કળશ આવી છે અથવા પ્રયત્નો થયા છે. પાર્લર પાસે આ નહોતું, ક્યાં તો, જેનો અર્થ એ થયો કે એકવાર અસુરક્ષિત પાછળનો ભાગ cesક્સેસ થઈ ગયા પછી, @ ડોન્ક_એનબી પણ 48 કલાકની અંદર પાર્લરનો ડેટા આર્કાઇવ કરી શકશે. (વિચિત્ર રીતે, સ્ટાર્ટઅપ દ્વારા દર્શાવ્યું મુજબ, એમેઝોન વેબ સર્વિસ પાસે મૂળભૂત ફાયરવ optionલ વિકલ્પ છે, જે પાર્લર તેનાથી કંટાળતો નથી.)

છેવટે, પાર્લરએ તેના વપરાશકર્તાઓની માન્યતા મુજબની પોસ્ટ્સને બંનેને કા deletedી નાખવા માટે ઉપલબ્ધ છે અને કોઈક પાછલા અંતમાં આવી જાય ત્યારે સરળતાથી શોધી શકાય છે. જીવલેણ હુલ્લડો પછી, કેટલાક પાર્લર વપરાશકર્તાઓ, જે વેબ પર ઉપલબ્ધ પુરાવાઓના બદલામાં લેવાથી વાકેફ છે, 6 જાન્યુઆરીથી અન્યને તેમની પોસ્ટ્સ કા deleteી નાખવા માટે પ્રોત્સાહિત થયા.

પાર્લરની બધી પોસ્ટ્સને ક્રમિક સંખ્યા આપવામાં આવી હતી જે 1 દ્વારા વધારી દેવામાં આવી છે. જ્યારે તે પોસ્ટ્સ વપરાશકર્તા દ્વારા કા deletedી નાખવામાં આવી હતી, ત્યારે પણ તેઓ પાછળના છેડે રહી હતી. @ ડોન્ક_એનબીને દેખીતી રીતે ફક્ત એકદમ મૂળભૂત સ્ક્રિપ્ટ લખવાની જરૂર હતી જે દરેક પોસ્ટને એક પછી એક મળી અને આર્કાઇવ કરી. અને પાર્લર ફોટા અને વિડિઓઝ અને પોસ્ટ્સ ભૂલો-ટેગ કરેલા ડેટા અપલોડ કરતા પહેલા તેને દૂર કરવાની તસ્દી લેતો ન હતો, તેથી તે માહિતી પણ આર્કાઇવ થવાની રાહમાં બેઠેલી હતી.

શક્ય છે કે અન્ય વેબસાઇટ્સ કે જે વર્ડપ્રેસ અથવા અન્ય હોસ્ટિંગ સ softwareફ્ટવેરનો ઉપયોગ કરે છે તેમાં સમાન સુરક્ષા ભૂલો હોઈ શકે છે, પરંતુ તે સુરક્ષા ખામી તકેદારી હેકરોનું રસ બને તે માટે તે પણ કુખ્યાત ન હોઈ શકે અને તેથી તેનો ભંગ થાય.

સલામતીની ખામી હોય છે, કેટલીકવાર નોંધપાત્ર બાબતો હોય તેવું વેબસાઇટ્સ માટે અસામાન્ય નથી, કારણ કે તે સરળ, ઘણીવાર સ્વચાલિત કરતાં વધુ દોરવા માટે પૂરતી લોકપ્રિય નથી, તેમની સાથે સમાધાન કરવાનો પ્રયાસ કરે છે, એરીક ક્રોને જણાવ્યું હતું કે, સુરક્ષા નિષ્ણાત નોલેબી 4 , એક અગ્રણી સુરક્ષા ઉકેલો પે firmી. જ્યારે સાઇટ ઝડપથી લોકપ્રિય બને છે, ત્યારે આ પરીક્ષણોનું ધ્યાન અને જટિલતા વધે છે, ઘણીવાર નબળાઈઓ શોધવામાં આવે છે.

આ ઘટનાનું એક તાજેતરનું ઉદાહરણ, ક્રોને કહ્યું, તે ઝૂમ છે. જ્યારે COVID-19 રોગચાળાએ તમામ કામ દૂરસ્થ કાર્ય બનાવ્યું ત્યારે, ઝૂમની અગાઉની શોધી શકાતી સુરક્ષા ભૂલો શોધી કા ,વામાં આવી, તેનું શોષણ કરવામાં આવ્યું, અને પછી ઝડપથી પેચ કરવામાં આવ્યું. પરંતુ પાર્લરની સાથે, જ્યારે સુરક્ષા વિક્રેતાઓએ તેમના પહેલાના ગ્રાહકને ઝડપી પાડવાનું શરૂ કર્યું, ત્યારે તે પાર્લરને તે સમયે સંવેદનશીલ બનાવ્યું, તેઓ હુમલો કરનારાઓ, હેકટીવિસ્ટ અને અન્ય લોકોનું લક્ષ્ય પણ હતા, ક્રોને ઉમેર્યું.

પાર્લર હજી મરી ગયો નથી. સપ્તાહના અંતે, પાર્લરનું કેટલાક સંસ્કરણ પાછા ફર્યા એ જ વેબ સર્વર્સ પર કે જે દ્વેષપૂર્ણ ભાષણને આવકારતી અન્ય ફ્રિંજ સાઇટ્સને હોસ્ટ કરે છે. મંગળવારે સાંજ સુધીમાં સાઇટનું હોમપેજ એ છે તકનીકી મુશ્કેલીઓ ઉતરાણ પૃષ્ઠ; સાઇટ સ્થાપક જ્હોન મેત્ઝે ફોક્સ ન્યૂઝને કહ્યું વેબસાઇટ મહિનાના અંત સુધીમાં સંપૂર્ણ રીતે કાર્યરત થવાની યોજના ધરાવે છે (જોકે મોબાઇલ વપરાશકર્તાઓ એપ્લિકેશનને બદલે વેબ-આધારિત સંસ્કરણનો ઉપયોગ કરીને અટવાઇ જશે). અને farનલાઇન દૂર-જમણા માટે અન્ય ઘરો છે - તેમ છતાં, ઝોલાઇડ્સે કહ્યું તેમ, ગેબ જેવા મુક્ત-ભાષણ કેન્દ્રિત ફોરમ્સ પાર્લરની તુલનામાં સામગ્રીની મધ્યસ્થતા સાથે વધુ સક્રિય થયા છે.

@Donk_enby એ પાર્લરના ડેટાને કેવી રીતે sedક્સેસ કર્યો અને ઓપન-ડોર સિદ્ધાંત બરાબર જે બન્યું તે પર હજી વધુ વિગતો બહાર આવી શકે છે. (અને સાયબર સિક્યુરિટી સવાલથી અલગ standingભા રહેવું એ નીતિશાસ્ત્રનો મુદ્દો છે; ભંગ અથવા હેક, પાર્લરનો વપરાશકર્તા ડેટા હજી ચોરી કરવામાં આવ્યો હતો, જેમ સ્ટેઇનબર્ગે કહ્યું હતું, અને હિંસક ઉજવવાનું કંઈ નથી.)

ધારે છે કે પાર્લરનો ડેટા ખરાબ ડિઝાઇન દ્વારા કરવામાં આવ્યો છે, હવે માટે, 6 જાન્યુઆરીની storyનલાઇન વાર્તા એ પુનરાવર્તિત આત્મહત્યાની એક છે: યુ.એસ. કolપિટોલને ભટકાતા, અનસમાક્ષિત તોફાનીઓ આનંદથી અને ખુલ્લેઆમ તેમની અસફળ વધારાની યોજનાઓની ચર્ચા કરે છે, ઇન્ટરનેટ પરના અસહ્ય પુરાવા પોસ્ટ કરે છે. જ્યારે, કોઈ એવી વેબસાઇટ કે જે તે પુરાવાને અનામિક અથવા સુરક્ષિત રાખવા માટે તૈયાર ન હતી.