Były szef ds. cyberbezpieczeństwa Twittera oskarżył firmę o szereg rażących niedociągnięć w zakresie bezpieczeństwa i niedopatrzeń, zgodnie ze skargą informatora złożoną w tym roku rządowi USA.
Skarga, opublikowana po raz pierwszy przez The Washington Post i CNN, zawiera wiele potępiających twierdzeń na temat Twittera, w tym, że członkowie zarządu firmy wprowadzali w błąd agencje publiczne i rządowe co do bezpieczeństwa firmy. Były szef ochrony twierdził w skardze, że kazano mu zataić główny raport bezpieczeństwa z zarządu Twittera i napisać wprowadzające w błąd dokumenty bezpieczeństwa.
Peiter „Mudge” Zatko, doświadczony ekspert ds. cyberbezpieczeństwa, powszechnie szanowany w branży, złożył w lipcu skargę do Komisji Papierów Wartościowych i Giełd, Federalnej Komisji Handlu i Departamentu Sprawiedliwości. Whistleblower Aid, organizacja non-profit, która świadczy pomoc prawną demaskatorom, potwierdziła autentyczność skargi.
Dyrektor generalny Twittera, Parag Agrawal, zwolnił Zatko i innego najwyższego urzędnika ds. bezpieczeństwa w wyniku czystek w tym dziale w styczniu.
W oświadczeniu w odpowiedzi na skargę informatora, rzecznik Twittera nazwał relację Zatko „fałszywą narracją” i powiedział, że Zatko został zwolniony, ponieważ wykazywał „nieskuteczne przywództwo i słabe wyniki”. Powiedział również, że jego zarzuty dotyczące bezpieczeństwa Twittera były „podziurawione niespójnościami i nieścisłościami oraz brakiem ważnego kontekstu”.
Skarga pojawia się w szczególnie delikatnym momencie dla Twittera, który walczy w sądzie o zapewnienie, że dyrektor generalny Tesli, Elon Musk, podpisze umowę zakupu Twittera za ponad 44 miliardy dolarów. Musk próbuje wycofać się z umowy. Argument prawny Muska opiera się na zarzutach, że Twitter wprowadzał inwestorów w błąd co do swojego produktu, w tym na tym, jak dobrze zwalcza fałszywe konta.
Zarzuty Zatko wydają się wzmacniać twierdzenia Muska dotyczące spamu na Twitterze, przy czym skarga stwierdza, że Agrarawal „bardzo dobrze wie, że kierownictwo Twittera nie jest zachęcane do dokładnego„ wykrywania ”lub zgłaszania wszystkich botów spamowych na platformie”.
NBC News zwróciło się do Zatko o komentarz, podczas gdy CNBC skontaktowało się z SEC, DOJ i FTC, ale nie otrzymało od razu żadnych odpowiedzi.
Niektóre z godnych uwagi zarzutów skargi obejmują:
Na Twitterze doszło do incydentów związanych z bezpieczeństwem na tyle znaczących, że uzasadniają raportowanie do agencji rządowej mniej więcej raz w tygodniu, z 20 naruszeniami w samym tylko 2020 roku.
Twitter nie traktuje priorytetowo usuwania spamu lub kont botów w sposób, który opisał wcześniej dyrektor generalny Parag Agrawal.
Firma nigdy nie przestrzegała umowy zawartej z FTC w 2011 roku w celu ochrony danych osobowych użytkowników.
Twitter robi niewiele, aby monitorować tak zwane zagrożenia wewnętrzne, pracowników lub kontrahentów, którzy wykorzystują swoje stanowiska w firmie do kradzieży informacji, a zamiast tego pozostawia ich „praktycznie niemonitorowanych”.
Założyciel Twittera i były dyrektor generalny, Jack Dorsey, zatrudnił Zatko w listopadzie 2020 r., po tym, jak firma doznała najbardziej zawstydzającego zhakowania na media społecznościowe w najnowszej historii. Hakerzy stojący za tym incydentem przejęli kontrolę nad wieloma głośnymi kontami, w tym kontami ówczesnego kandydata na prezydenta Joe Bidena, Billa Gatesa i Elona Muska, i opublikowali tweety z prośbą o przesłanie im bitcoinów. Dorsey powiedział wtedy, że czuł się „strasznie” z powodu włamania, a Twitter powiedział wtedy, że prawdopodobnie był to atak socjotechniczny, którego celem byli pracownicy mający dostęp do jego wewnętrznego systemu.
Departament Sprawiedliwości oskarżył później o ten incydent 22-latka z Florydy, 19-letniego Brytyjczyka i jednego wówczas nieletniego hakera.
Zatko ma długą i wybitną karierę w cyberbezpieczeństwie, specjalizując się w identyfikowaniu potencjalnych luk, które złośliwi hakerzy mogą próbować wykorzystać. Wcześniej kierował zespołami badawczymi ds. bezpieczeństwa w Departamencie Obrony i Google.
