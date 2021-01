Das insbesondere bei Rechten und Rechtsextremen beliebte soziale Netzwerk Parler, das inzwischen von Amazon vom Netz genommen wurde, wies offenbar mehrere schwerwiegende Sicherheitslücken auf. Internetaktivisten archivierten nach eigenen Angaben in einer koordinierten Aktion ungefähr 70 TByte an Posts, Videos und Bildern, inklusive Geodaten, von der Plattform. Nach den Ereignissen am Capitol in Washington war Parler in den Fokus heftiger Kritik geraten.

Laut einer Hacktivistin und Sicherheitsforscherin, die auf Twitter als @donk_enby vertreten ist, war es möglich, massenhaft verifizierte Accounts auf Parler zu erstellen. Ebenso konnte über die Parler-API eingesehen werden, welche bestehenden Accounts über Administrations- und Moderationsrechte verfügten. Wurde für diese Accounts die Funktion zum Zurücksetzen des Passworts aktiviert, so konnte das Passwort direkt geändert werden, weil Twilio keine Verifikations-Mails mehr versendete und das alte Passwort nicht benötigt wurde.

Öffentliche Daten abgegriffen

Dies erleichterte das Auslesen und Speichern von URLs, über die das Content-Delivery-Network öffentlich zugängliche Inhalte, wie Posts, Videos und Bilder bereitstellte. Um den Download der Daten zu automatisieren, erstellten die Aktivisten einen Docker-Container, über den die Inhalte hinter den URLs heruntergeladen und anschließend archiviert wurden. Die Hacker versichern, dass sie nur öffentliche Daten abgegriffen haben. Beobachter haben aber bereits darauf verwiesen, dass viele Nutzer etwa Kontaktdaten veröffentlicht hatten.

Die Metadaten der abgegriffenen Inhalte lassen sich bereits einsehen und können etwa mit Googles Hilfe zurückverfolgt werden. Die Inhalte selbst sollen ebenfalls verfügbar gemacht werden. Sie lassen sich nach Angaben der Aktivisten den Nutzern zuordnen, die diese ursprünglich auf Parler hochgeladen haben, wo sie inzwischen nicht mehr zugänglich sind. Viele Inhalte geben über Metadaten Aufschluss, wann und wo beispielsweise ein Foto aufgenommen wurde. Besonders pikant: Um den “Verified Citizen“-Status auf Parler zu erhalten, müssen Nutzer Scans ihrer Ausweisdokumente hochladen.

(ndi)