Kada je bivši izvršni direktor Twittera Jack Dorsey zaposlio Peitera Zatka kao šefa sigurnosti Twittera 2020. smatrao je da bi haker koji je postao stručnjak za kibernetičku sigurnost mogao pomoći tvrtki da poboljša svoju sigurnost držanje. Ali dvije godine kasnije, ili Peiter nije mogao pomoći Twitteru ili tvrtka nije željela njegovu pomoć. Otpušten je zbog neučinkovitog vođenja i lošeg rada, no Zatko tvrdi drugačije.
Podnio je žalbu Komisiji za vrijednosne papire i burzu (SEC), Saveznoj komisiji za trgovinu (FTC) i Ministarstvu pravosuđa optužujući Twitter za namjerno ignoriranje i velike sigurnosne propuste.
To je litanija optužbi, svaka veća od druge. Evo još otkrića iz Zatkove optužnice protiv Twittera.
1. Opasne sigurnosne ranjivosti
Među najozbiljnijim optužbama koje je Zatko iznio protiv Twittera jest da tvrtka ne čini malo da zaštiti svojih 238 milijuna dnevnih korisnika (koji uključuju šefove država, vladine agencije i utjecajne javne osobe) protiv hakeri.
Navodi da polovica Twitterovih poslužitelja pokreće zastarjeli softver, a gotovo četvrtina zaposlenika onemogućila je ažuriranja softvera na svojim sustavima koja bi mogla pružiti bitne sigurnosne zakrpe.
Ako je točno, Twitter se može smatrati kršenjem Ugovor s FTC-om iz 2011o sigurnosti potrošača. Ugovor je od tvrtke zahtijevao stvaranje i održavanje solidnog modela informacijske sigurnosti koji će nadzirati neovisni revizor tijekom 10 godina.
2. Problematični interni pristupi
Jedan čimbenik koji platformu čini ranjivom je širok i nepotreban pristup proizvodnom okruženju koji zaposlenici navodno imaju.
Gospodin Zatko tvrdi da previše zaposlenika, uključujući sve inženjere i otprilike polovicu radne snage, radi izravno na proizvodu platforme uživo i pristupa stvarnim korisničkim podacima. Ovo je nečuveno u tehnološkim tvrtkama kao što su Meta i Google gdje programeri koriste lažne podatke kodirati i testirati u specijaliziranim sandboxovima bez utjecaja na glavne proizvode.
Loše praćen pristup ključnom softveru tvrtke doveo je do neugodnih hakiranja u prošlosti, uključujući preuzimanje korisničkih računa visokog profila poput Billa Gatesa, Elona Muska i Joea Bidena.
3. Zavaravajuća neželjena pošta i broj botova
Objava zviždača Twittera optužuje tvrtku za obmanjivanje investitora i javnosti u vezi s količinom neželjene pošte i botova na platformi.
Prethodno je Twitter tvrdio da su samo pet posto računa na platformi botovi, ali Zatko kaže da je stvarna brojka daleko veća. Tvrdi da tvrtka daje prednost rastu broja korisnika nad smanjenjem neželjene pošte te da rukovoditelji zarađuju milijunske bonuse kako bi povećali dnevnu aktivnost korisnika.
Ova optužba daje dovoljno streljiva za Elon Musk u svojoj pravnoj borbi za odustajanje od ugovora vrijednog 44 milijarde dolara kupiti tvrtku.
4. Međunarodne prijetnje
Pieter Zatko tvrdi da strane vlade koje dobiju pristup platformi ili pronađu utjecaj protiv nje mogu napraviti ogromnu štetu američkoj nacionalnoj sigurnosti i interesima. Prijetnja nije teoretska ako uzmete u obzir prošle incidente i slab stav tvrtke o kibernetičkoj sigurnosti.
U izvješću se tvrdi da je nedugo prije nego što je Zatko otpušten, američka vlada dojavila Twitteru da je barem jedan od njezinih zaposlenika agent strane obavještajne agencije. Zatko također smatra da je tvrtka angažirala dvoje ljudi koji su bili agenti indijske vlade.
Slično, Zatko tvrdi da je prije ruske invazije na Ukrajinu Parag Agrawal, koji je bio Twitterov tehnički direktor u vrijeme, predložio ustupke Rusiji kako bi rasla u zemlji po cijenu cenzure ili nadziranje.
Ovo nije prvi put da je Twitter optužen da pomaže državama u cenzuri ili nadzoru platforme za novčane koristi. Samo dva tjedna prije Zatkovog razotkrivanja, porota je osudila bivšeg menadžera Twittera za špijuniranje za Saudijsku Arabiju.
Što Twitter kaže o optužbama?
Zatkovo izvješće sadrži desetke ozbiljnih optužbi protiv Twitterovih nedjela, uključujući sigurnosne ranjivosti, loše kontrole pristupa, pogrešno mjerenje neželjene pošte i bot računa i više.
Ali potpredsjednica tvrtke za komunikacije, Rebecca Hahn, rekla je za Washington Post da Zatkovu razotkrivanju nedostaje “važan kontekst”. Hahn vjeruje da se "optužbe i oportunistički tajming čine osmišljeni kako bi privukli pozornost i nanijeli štetu Twitteru" te da su "sigurnost i privatnost dugo bili prioriteti cijele tvrtke".
Agrawal je također zanijekao optužbe protiv Twittera i nazvao ga "lažnim narativom koji je prožet nedosljednostima i netočnosti." U memorandumu zaposlenicima, naglasio je da će tvrtka nastojati obraniti svoj integritet i postaviti rekord ravno.
Što možemo naučiti od Twitter zviždača?
Ono što je važno, svi moramo biti svjesni da se ne možemo osloniti samo na druge strane da bismo se zaštitili na internetu. Twitter može ili ne mora ostaviti svoje korisnike otvorenima za hakere, ali u konačnici, svatko od nas treba preuzeti osobnu odgovornost koje podatke predajemo tvrtki—i, doista, svakoj organizaciji koja traži više osobnih podataka nego što ih traži potrebno.
