5 takeaways fra Twitter-whistleblower Peiter Zatko

Opsigtsvækkende nye afsløringer fra Twitters tidligere sikkerhedschef, Peiter Zatko, har rejst alvorlige nye spørgsmål om sikkerheden af ​​platformens tjeneste, dens evne til at identificere og fjerne falske konti og sandheden af ​​dens udtalelser til brugere, aktionærer og føderale tilsynsmyndigheder.

Zatko – bedre kendt af sit hackerhåndtag "Mudge" – er en respekteret cybersikkerhedsekspert, der først vandt frem i 1990'erne og senere arbejdede i ledende stillinger hos Pentagons Defense Advanced Research Agency og Google. Twitter fyrede ham fra sikkerhedsjobbet i begyndelsen af ​​året på grund af, hvad virksomheden kaldte "ineffektiv ledelse og dårlig præstation." Zatkos advokater siger, at påstanden er falsk.

I en whistleblower-klage, der blev offentliggjort tirsdag, dokumenterede Zatko, hvad han beskrev som hans op ad bakke 14-måneders indsats for at styrke Twitter-sikkerheden, øge pålideligheden af ​​dens tjeneste, afvise indtrængen fra agenter fra udenlandske regeringer og både måle og handle mod falske "bot" konti, der spammede platformen.

Mange af Zatkos påstande er ikke blevet bekræftet, og klagen gav ikke dokumentation for dem. I en erklæring kaldte Twitter Zatkos beskrivelse af begivenheder "en falsk fortælling."

Her er fem takeaways fra den whistleblower-klage.

TWITTERS SIKKERHEDS- OG PRIVATLIVSSYSTEMER VAR GROVT utilstrækkelige

I 2011 afgjorde Twitter en Federal Trade Commission-undersøgelse af sin privatlivspraksis ved at acceptere at indføre stærkere datasikkerhedsbeskyttelser. Zatkos klage anklager i stedet for, at Twitters problemer blev værre over tid.

For eksempel, hedder det i klagen, tillod Twitters interne systemer alt for mange medarbejdere adgang til personlige brugerdata, de ikke havde brug for til deres job - en situation, der er moden til misbrug. I årevis fortsatte Twitter også med at udvinde brugerdata såsom telefonnumre og e-mailadresser – kun beregnet til sikkerhedsformål – til målretning af annoncer og marketingkampagner, ifølge klagen.

HELE TWITTERS SERVICE KUNNE VÆRE SAMLET UOPPRÆSTELIGT UNDER STRESS

En af de mest slående afsløringer i Zatkos klage er påstanden om, at Twitters interne datasystemer var så forfalskede – og virksomhedens beredskabsplaner så utilstrækkelige – at ethvert udbredt nedbrud eller uplanlagt nedlukning kunne have ramt hele platformen.

Bekymringen var, at en "cascading" datacenterfejl hurtigt kunne sprede sig over Twitters skrøbelige informationssystemer. Som klagen udtrykte det:"Det betød, at hvis alle centrene gik offline samtidigt, selv kortvarigt, var Twitter usikker på, om de kunne bringe tjenesten op igen. Nedetidsestimater varierede fra ugers arbejde døgnet rundt til permanent uoprettelig fejl. ."

TWITTER FORVILDT REGULATORER, INVESTORER OG MUSK OM FAKE "SPAM"-BOTS

I det væsentlige hedder det i Zatkos klage, at Teslas administrerende direktør Elon Musk – hvis 44 milliarder dollars bud på at erhverve Twitter er på vej til oktober-retssag ved en domstol i Delaware – er korrekt, når han anklager, at Twitter-chefer har ringe incitament til nøjagtigt at måle udbredelsen af ​​falske konti på system.

Klagen anklager, at virksomhedens ledende ledelse praktiserede "bevidst uvidenhed" om emnet for disse såkaldte spambots. "Senior ledelse havde ingen appetit til korrekt at måle udbredelsen af ​​botkonti," hedder det i klagen og tilføjer, at ledere var bekymrede for, at nøjagtige botmålinger ville skade Twitters "image og værdiansættelse."

PÅ JAN. 6, 2021, KUNNE TWITTER HA VÆRET UTVILDE MEDARBEJDERES NÅDE

Zatkos klage siger, at da en pøbel samlet foran den amerikanske hovedstad den 6. januar 2021 og til sidst stormede bygningen, begyndte han at bekymre sig om, at ansatte, der sympatiserede med uromagerne, kunne forsøge at sabotere Twitter. Denne bekymring steg, da han fandt ud af, at det var "umuligt" at beskytte platformens kernesystemer mod en hypotetisk slyngel eller utilfreds ingeniør, der sigter mod at skabe kaos.

"There were no logs, nobody knew where data lived or whether it was critical, and all engineers had some form of critical access" to Twitter's core functions, the complaint states.

A PLAYGROUND FOR FOREIGN GOVERNMENTS

The Zatko complaint also highlights Twitter's difficulty in identifying—much less resisting—the presence of foreign agents on its service. In one instance, the complaint alleges, the Indian government required Twitter to hire specific individuals alleged to be spies, and who would have had significant access to sensitive data thanks to Twitter's own lax security controls. The complaint also alleges a murkier situation involving taking money from unidentified "Chinese entities" that then could access data that might endanger Twitter users in China. + Udforsk yderligere

Whistleblower accuses Twitter of cybersecurity negligence

© 2022 The Associated Press. Alle rettigheder forbeholdes. Dette materiale må ikke offentliggøres, udsendes, omskrives eller videredistribueres uden tilladelse.