Parler, das soziale Netzwerk, das bei der Planung und Koordination des Angriffs auf das US-Kapitol vergangene Woche eine maßgebliche Rolle spielte, wurde Opfer eines Hacks, bei dem die Hacker knapp 70 Terabyte Daten sicherstellen konnten. Die ausgenutzte Lücke tat sich am Montag auf, kurz bevor Amazon, Google und Apple der Plattform den Stecker zogen.

Die gewonnenen Daten beinhalten Profil- und Nutzerinfos, darunter die Info über Admin-Rechte für bestimmte Gruppen innerhalb des Sozialen Netzwerks. Laut einer Twitter-Nutzerin konnten mehr als eine Million Video-URLs sichergestellt werden.

Dabei handele es sich um unprozessierte Rohdateien mit allen zugehörigen Metadaten, wird einer der Autoren des Hacks von Cybernews zitiert. Die extrahierten Posts verweisen laut den Hackern auf die Urheberkonten. Zudem sind in Video- und Bilddateien offenbar Geolocation-Angaben vorhanden. Parler-Nutzer hatten die Möglichkeit, über den Upload eines Ausweisdokuments den Status eines sogenannten „verified Citizen“ zu erlangen. Auch diese Daten sollen die Hacker sichergestellt haben.

Twitter-Nutzerin @donk_enby, die den Hack zuerst öffentlich gemacht hatte, schrieb kurze Zeit später, weder sie noch andere Beteiligte hätten persönliche Daten gesammelt, die nicht von den Parler-Nutzern selbst über das Netzwerk veröffentlicht wurden.

Am Montag wurde bekannt, dass das Soziale Netzwerk zum Speichern und Verifizieren der Nutzerdaten offenbar eine kostenlose Testversion der Identitäts- und Zugriffsverwaltungs-Software Okta verwendet hatte. Ein Twitter-Nutzer kommentierte: „Kannste dir nicht ausdenken“.

Auch ansonsten hat Parler es mit der Cybersicherheit nicht allzu genau genommen: Im Sommer hatten IT-Sicherheitsexperten die Plattform bereits auf unsichere API-Verwendungsmuster hingewiesen.

Unter den gesammelten Daten befinden sich auch von den Nutzern gelöschte Posts. Parler hatte diese Daten offenbar weiterhin gespeichert. Besonders im Hinblick auf den Angriff auf das Kapitol könnten sich diese Informationen als nützlich für die Strafverfolgungsbehörden erweisen.

Parler gilt – oder galt – als Netzwerk mit besonders laxen Content-Regeln, was die Plattform besonders attraktiv für rechtsextreme Gruppierungen machte. Nach dem Sturm auf das Kapitol hatten Google und Apple die App aus den App-Stores verbannt – Parler erlaube Inhalte, die die Gewalt in den USA noch weiter anheizten. Amazon ergriff ähnliche Maßnahmen und entfernte die Plattform von seinem Cloud-Hosting-Angebot AWS.

Laut eines Reddit-Threads war der Hack nur möglich, weil Twilio, eine weitere Hosting-Plattform, die Authentifizierungslösungen anbietet, die Geschäftsbeziehungen zu Parler ebenfalls beendet habe. Via Twilio waren die Telefonnummern von Nutzern bei erstmaliger Anmeldung oder im Fall eines Password-Reset verifiziert worden. In einer Pressemitteilung, so der Thread, habe Twilio offengelegt, welche Services Parler nutze, was die Hacker erst auf die Möglichkeit gestoßen habe, Nutzerkonten ohne Verifikation erstellen zu können.

Eine derartige Pressemitteilung hat es laut Twilio nie gegeben. In einem offiziellen Statement gab der Hosting-Anbieter am Montag bekannt, Parler am 8. Januar schriftlich aufgefordert zu haben, die Gewaltaufrufe auf der Plattform einzudämmen. Unternehme das soziale Netzwerk dahingehend keine Anstrengungen, würde man die Geschäftsbeziehungen beenden. Kurz nach Erhalt des Schreibens habe Parler den Hosting-Anbieter informiert, die Integration seiner Dienste bereits abgestellt zu haben.

Demnach hatte das soziale Netzwerk sich selbstständig von der Authentifizierungslösung getrennt – ohne für Ersatz zu sorgen. Hacker entdeckten die Lücke innerhalb kürzester Zeit. Ohne Authentifizierung war es jedem möglich, einen Fake-Account zu erstellen – dafür war weder eine echte Emailadresse, noch eine echte Telefonnummer nötig.

Parler habe es nie für nötig gehalten, bestimmte Schwachstellen in ihrer App-Architektur zu schließen, schreibt ein Twitter-Nutzer. Zudem hat das Netzwerk einmal veröffentlichte Inhalte nie komplett gelöscht. Die Plattform hatte es dummerweise auch noch so eingerichtet, dass Nutzer mit Admin-Rechten diese Inhalte weiterhin einsehen und downloaden konnten. Mit dem Wegfall der Nutzer-Authentifizierung konnte jeder mit der nötigen Expertise vorhandene Schwachstellen in der App-Architektur ausnutzen, sich selbst zum Admin machen und auf all diese Daten zugreifen. Eigentlich könne Parler Amazon dankbar sein, dass es sie von seinen AWS-Servern gekickt habe. So seien immerhin nur 70 Terabyte und nicht der gesamte Content des sozialen Netzwerkes archiviert worden.