Twitter a ascuns practici de securitate neglijentă, a indus în eroare autoritățile federale de reglementare cu privire la siguranța sa și nu a reușit să estimeze în mod corespunzător numărul de roboți de pe platforma sa, conform mărturiei fostului șef de securitate al companiei, legendarul hacker devenit expert în securitate cibernetică Peiter „Mudge”. ” Zatko. Plângerea explozivă va avea consecințe potențiale uriașe, inclusiv amenzi federale și dezlegarea ofertei lui Elon Musk pe Twitter.
Zatko a fost concediat de Twitter în ianuarie și susține că aceasta a fost o răzbunare pentru refuzul său de a rămâne tăcut cu privire la vulnerabilitățile companiei. Luna trecută, el a depus o plângere la Securities and Exchange Commission (SEC) care acuză Twitter că a înșelat acționarii și că a încălcat un acord încheiat cu Federal Trade Commission (FTC) pentru a respecta anumite standarde de securitate. Plângerile sale, însumând peste 200 de pagini, au fost obținute de CNN și The Washington Post și publicate în formă redactată în această dimineață.
Într-un interviu acordat CNN, Zatko a spus că s-a alăturat Twitter în 2020 la moștenirea CEO-ului de atunci Jack Dorsey, imediat după ce compania a fost lovită de un hack masiv în care au fost conturi aparținând unor figuri precum Barack Obama, Bill Gates și Kanye West. compromisă. Zatko spune că s-a alăturat Twitter pentru că crede că platforma este o „resursă critică” pentru lume, dar a devenit dezamăgit de refuzul CEO-ului Parag Agrawal de a aborda numeroasele deficiențe de securitate ale companiei.
„Acesta nu ar fi niciodată primul meu pas, dar cred că încă îmi îndeplinesc obligația față de Jack și față de utilizatorii platformei”, a spus Zatko pentru The Washington Post cu privire la decizia sa de a deveni avertizor. „Vreau să termin slujba pentru care m-a adus Jack, și anume să îmbunătățesc locul.”
Dezvăluirile lui Zatko către SEC conțin multe rapoarte și acuzații condamnatoare, dar acestea sunt unele dintre cele mai semnificative:
Acces fără discriminare. O parte semnificativă a vulnerabilității Twitter este că prea mulți angajați au acces la sisteme critice, susține Zatko în plângerea sa. Se precizează că aproximativ jumătate din cei 7.000 de angajați cu normă întreagă ai Twitter au acces la datele personale sensibile ale utilizatorilor (cum ar fi numerele de telefon) și software-ul intern (pentru a modifica modul în care funcționează serviciul) și că acest acces nu este monitorizat îndeaproape. El susține, de asemenea, că mii de laptopuri conțin copii complete ale codului sursă al Twitter.
Inducerea în eroare a FTC. În 2010, Twitter a soluționat acuzații cu FTC pentru că nu a reușit să protejeze informațiile personale ale consumatorilor – un exemplu semnificativ și timpuriu al autorităților guvernamentale care au reținut Big Tech. Plângerea lui Zatko susține că Twitter a făcut în mod repetat „declarații false și înșelătoare” către utilizatori și FTC, încălcând acest acord.
Ignorând roboții. Twitter a susținut în mod repetat că mai puțin de 5% dintre utilizatorii săi activi zilnici sunt roboți, conturi false sau spam. Plângerea lui Zatko spune că metoda Twitter de a măsura această cifră este înșelătoare și că directorii sunt stimulați (cu bonusuri de până la 10 milioane de dolari) să mărească numărul de utilizatori, mai degrabă decât să elimine roboții de spam.
Agenți guvernamentali. Twitter este un instrument cheie pentru împărtășirea știrilor și organizarea protestelor, făcându-l o țintă potrivită pentru guvernele care doresc să reprime disidența. Plângerea lui Zatko afirmă că el crede că guvernul indian a forțat Twitter să angajeze un agent guvernamental, care a avut apoi acces la datele utilizatorilor privilegiați.
Eșecul ștergerii. Plângerea afirmă că Twitter nu a reușit, în trecut, să ștergă datele utilizatorilor la cerere, deoarece astfel de înregistrări sunt răspândite prea larg între sistemele interne pentru a fi urmărite corect. Un angajat actual a declarat pentru The Washington Post că compania tocmai a finalizat un proiect, cunoscut sub numele de Project Eraser, pentru a asigura ștergerea corectă a datelor utilizatorilor.
Ca răspuns la plângerea lui Zatko, Twitter l-a acuzat pe fostul șef al securității că a făcut senzațional și a prezentat selectiv informații. Un purtător de cuvânt a declarat pentru CNN:
„Domnul. Zatko a fost concediat din funcția de executiv senior la Twitter pentru performanță slabă și conducere ineficientă în urmă cu peste șase luni. Deși nu am avut acces la acuzațiile specifice la care se face referire, ceea ce am văzut până acum este o narațiune despre practicile noastre de confidențialitate și securitate a datelor care este plină de inconsecvențe și inexactități și nu are un context important. Acuzațiile domnului Zatko și momentul oportunist par a fi concepute pentru a capta atenția și a provoca rău Twitter, clienților și acționarilor săi. Securitatea și confidențialitatea au fost de mult timp priorități la nivel de companie la Twitter și încă mai avem mult de lucru în față.”
Acuzațiile lui Zatko sunt explozive și vor avea un efect semnificativ asupra companiei. FTC examinează în prezent plângerea, potrivit surselor citate de The Washington Post, și ar aplica probabil amenzi semnificative împotriva Twitter dacă acuzațiile lui Zatko se dovedesc a fi corecte.
Plângerea va afecta, de asemenea, lupta continuă dintre CEO-ul Tesla, Elon Musk, și Twitter. Musk încearcă în prezent să se desprindă dintr-un acord de 44 de miliarde de dolari pentru cumpărarea companiei, justificând decizia cu o acuzație că Twitter minte cu privire la numărul real de conturi de bot și spam de pe platformă. Plângerea lui Zatko întărește în mod semnificativ argumentele lui Musk, care au fost anterior criticate ca nefondate.
