Seit der Veröffentlichung im Jahr 2018 positionierte sich die Twitter-Alternative Parler als "die erste Adresse für Redefreiheit", entwickelte sich jedoch zum Zufluchtsort für Rechtsextreme und Verschwörungstheoretiker – zumindest bis Google, Apple und Amazon den Dienst vom Netz nahmen, weil er zur Planung des Sturms auf das Kapitol genutzt wurde. Davor schaffte es jedoch eine Hackerin, sämtliche Nutzerdaten abzugreifen. Und zwar wegen einer grundliegenden Sicherheitslücke in der Infrastruktur der Plattform.

Nachdem Google und Apple bereits im Laufe des vergangenen Wochenendes Parler aus ihren App-Stores geworfen hatten, folgte am Montag auch Amazon. Seit dem Rauswurf aus der Cloud der Amazon Web Services ist der Dienst auch per Browser nicht mehr erreichbar. Wann beziehungsweise ob Parler jemals wiederkommen wird, steht derzeit in den Wolken. Gegenüber Reuters räumte Parler-CEO John Matze am Mittwoch allerdings bereits die Möglichkeit ein, dass der Dienst nicht wiederkommen wird.

Alle öffentlichen Daten gesichert

Die für die Datensicherung verantwortliche Hackerin mit dem Pseudonym "donk_enby" konnte mehr als 56,7 Terabyte an Daten abgreifen, berichtet "Vice". Darunter nicht nur Nachrichten, Fotos und veröffentlichte Videos, sondern auch die Standortdaten vieler Nutzer. Und diese zeigen: Etliche Parler-Fans waren – wenig überraschend – am Sturm auf das Kapitol beteiligt, berichtet "Gizmodo". Das zeigen GPS-Metadaten, die mit auf Parler veröffentlichten Videos verknüpft waren.

Während erste Gerüchte nahelegten, dass die Daten durch eine Schwäche in der Zwei-Faktor-Authentifizierung erbeutet werden konnten, soll es tatsächlich noch viel einfacher gewesen sein. Denn der Plattform sollen grundlegende Sicherheitsmaßnahmen gefehlt haben, die ein automatisches "Scraping", also das Auslesen und Kopieren der Inhalte, hätten verhindern können. Anscheinend waren Posts sogar in den URLs chronologisch durchnummeriert, was einen automatisierten Download von Millionen Beiträgen besonders einfach machte.

Chronologische URLs

Für das "Scraping" der Parler-Beiträge mussten also nur die URL um jeweils eine Ziffer erhöht werden, um zum nächsten Posting zu gelangen. Zudem gab es keine Einschränkungen für den Zugriff auf öffentliche Beiträge. Die Hacker konnten also ein einfaches Skript schreiben, um jede einzelne Nachricht, jedes Foto und jedes Video von Parlers Servern herunterzuladen, das veröffentlicht wurde.

Konkurrenz ist sicherer

Zum Vergleich: Dienste wie Twitter randomisieren ihre URLs, damit sie nicht erraten werden können. Zwar bietet auch die Konkurrenz eine Programmierschnittstelle (API) an, um Entwicklern Zugang zu Beiträgen zu ermöglichen, jedoch in eingeschränktem, kontrolliertem Ausmaß. Parlers API war hingegen frei zugänglich, erklärt der Sicherheitsingenieur Josh Rickard gegenüber "Wired".

"Donk_enby" stellte jedoch schnellstens die Gerüchte klar, dass auch Fotos von Führerscheinen gesichert worden seien, die für die Account-Verifizierung gebraucht wurden – denn nur öffentlich zugängliche Daten konnten abgegriffen werden. Weder E-Mail-Adressen noch Telefon- oder Kreditkartennummern wurden kompromittiert.

Standort der Aufständischen

Parler scheint außerdem bei der Verarbeitung von Videos und Fotos nicht daran gedacht zu haben, die in den Metadaten integrierten Standortdaten aus den Dateien zu entfernen. Deshalb sind detaillierte Informationen über die Bewegungsmuster vieler User bekannt. Twitter-Nutzer Kyle McDonald visualisierte auf Basis der Daten bereits die Standorte von 68.000 archivierten Parler-Videos.

Kritik an der Unfähigkeit, Parler wieder zu aktivieren, äußert auch Pirate-Bay-Gründer Peter Sunde Komisoppi: "Pirate Bay ist die meistzensierte Website der Welt, wurde von Kindern gestartet und von Menschen mit Alkohol-, Drogen- und Geldproblemen am Laufen gehalten. Trotzdem ist sie nach zwei Jahrzehnten noch immer online", greift er Parler in einem Twitter-Posting an. Die Unfähigkeit Parlers bezeichnet er im selben Zug als "peinlich". (mick, 14.1.2021)