Videnskab
 science >> Videnskab >  >> Elektronik

Whistleblower detaljerede udenlandske agenter placeret på Twitter, manglende databeskyttelse

Kredit:Pixabay/CC0 Public Domain

Peiter Zatko, den tidligere Twitter-sikkerhedschef, der blev whistleblower, fortalte tirsdag til Senatets retsudvalg, at det sociale medieselskabs sikkerhedspraksis var så svag, at udenlandske regeringer var i stand til at placere agenter på virksomhedens lønningsliste.

Zatko fortalte også lovgivere, at amerikanske tilsynsmyndigheder ikke er i stand til at overvåge teknologivirksomheder, idet de fremhæver Federal Trade Commission som værende i overhovedet og tillader teknologivirksomheder at "bedømme deres egne lektier." Den amerikanske praksis med at smække virksomheder med engangsbøder "prises" af Twitter og andre teknologivirksomheder som omkostningerne ved at drive forretning, sagde han.

Hans vidnesbyrd fulgte efter klager, som han indgav til FTC, Securities and Exchange Commission og justitsministeriet. Washington Post afslørede først hans afsløringer i sidste måned.

På trods af høringen forventes Kongressen ikke at tage skridt til at overvåge Twitters eller andre sociale medievirksomheders adfærd. To senat-lovforslag, der skulle behandle databeskyttelse for børn og mindreårige, er blevet godkendt af Senatets handelsudvalg, men de har ikke modtaget ordet.

Medlem af Senatets retsvæsen Amy Klobuchar, D-Minn., citerede den manglende handling ved tirsdagshøringen. "Vi har ikke vedtaget et lovforslag fra det amerikanske senat, når det kommer til konkurrence, når det kommer til privatliv, når det kommer til bedre finansieringsbureauer," sagde hun. "Jeg tror, ​​vi må hellere sætte spejlet på os selv."

Zatko sagde, at den indiske regering var i stand til at placere en agent på Twitters kontor i Indien som ansat, mens virksomheden og regeringen forhandlede om platformens indholdspolitikker. "Jeg så med stor tillid en udenlandsk agent placeret fra Indien for at forstå forhandlingerne," sagde han, "og hvor godt de gik for eller imod" Indiens regerende Bharatiya Janata-parti.

Den indiske regering har siden 2021 bedt Twitter om at fjerne så mange som 1.400 konti, ifølge en rapport fra Bloomberg News i juli, der citerede unavngivne kilder. Twitter udfordrede den indiske regerings ordrer i retten i juni; resultatet afventer.

Senatets retsformand Richard J. Durbin, D-Ill., ringede til Zatkos påstande vedr. Det område, der giver anledning til stor bekymring, er udenlandske regeringers og udenlandske agenturers adgang til data, som amerikanske brugere muligvis leverer til platformen, sagde han og tilføjede, at amerikanere "ingen anelse om, at de er sårbare over for den mulighed."

I august blev en tidligere Twitter-manager anklaget for at spionere for Saudi-Arabien dømt i San Francisco for seks kriminelle forhold. Anklagere sagde, at en rådgiver for Saudi-Arabiens kronprins Mohammed bin Salman rekrutterede Ahmad Abouammo til at bruge sin insiderviden til at få adgang til Twitter-konti og grave personlige oplysninger frem om saudiske dissidenter.

Zatko sagde, at Twitter havde få af de standardsikkerhedspraksis, der blev brugt hos flere teknologiske og andre virksomheder med protokoller, der specificerer, hvilke medarbejdere der har adgang til hvilke computersystemer og/eller vedligeholdelseslogfiler over medarbejderaktivitet. Tusindvis af ingeniører hos Twitter har adgang til virksomhedens produktionssystem eller computernetværk, der hoster den sociale medieplatform og brugernes data, sagde han.

Mange virksomheder opretter et separat netværk, hvor nye medarbejdere trænes, og nye tilbud testes, før de lanceres på produktionssystemet, sagde Zatko.

Twitter førte ikke logfiler over, hvilke ingeniører der havde adgang til hvilke systemer, sagde han. Som et resultat har tusindvis af medarbejdere adgang til al information fra Twitter-brugere, hvilket gør virksomheden til et rigt mål for efterretningsindsamling om brugere fra udenlandske regeringer, sagde Zatko.

Præsident Barack Obamas Twitter-konto blev hacket i 2009. Hackere fik også adgang til Obamas konto i 2020 såvel som dem af den daværende præsidentkandidat Joe Biden, Tesla-grundlægger Elon Musk og 100 andre.

Zatko beskrev en virksomhed, der var så fokuseret på at tilføje nye brugere og øge omsætningen, at den ikke sparede tid, ressourcer eller personale på at indføre sikkerhedsforanstaltninger. Twitter tillod kinesiske virksomheder, der kan have haft forbindelser til regeringen, at annoncere på platformen, selvom det er forbudt i Kina, sagde Zatko. Brugere, der har klikket på disse annoncer, kan have udsat sig selv for dataindsamling fra de kinesiske virksomheder, sagde han.

"Twitter var en virksomhed, der blev styret af risiko og kriser, i stedet for en, der styrede risici og kriser," sagde Zatko.

Virksomhedens topledere ønskede ikke at høre om sikkerhedssvagheder, sagde Zatko.

Amerikanske tilsynsmyndigheder 'over hovedet'

Zatko sagde, at amerikanske føderale agenturer er dybt utilstrækkelige til at overvåge teknologivirksomheder, og bemærkede, at FTC især ikke var i stand til fuldt ud at håndhæve et samtykkedekret fra 2011 med Twitter om beskyttelse af brugernes data.

"Jeg tror, ​​at FTC ærligt talt er lidt over hovedet på dem … sammenlignet med størrelsen af ​​de store teknologivirksomheder og den udfordring, de har imod dem," sagde han.

Twitter var mere bange for udenlandske tilsynsmyndigheder – inklusive Frankrigs databeskyttelsesagentur, kendt som CNIL – end for FTC, sagde Zatko. I modsætning til FTC, som opkræver engangsbøder, er Frankrig og andre udenlandske tilsynsorganer mere tilbøjelige til at pålægge teknologivirksomheder strukturelle retsmidler, der kan skade bundlinjerne og få investorernes opmærksomhed, sagde Zatko.

I maj idømte FTC Twitter en bøde på 150 millioner dollars for at overtræde et samtykkedekret fra 2011 ved at indsamle kunders personlige oplysninger til det erklærede sikkerhedsformål og derefter udnytte dem kommercielt. + Udforsk yderligere

Twitter-whistleblower bringer sin kritik til Kongressen

2022 CQ-Roll Call, Inc., Alle rettigheder forbeholdes. Distribueret af Tribune Content Agency, LLC.