Whistleblower anklager Twitter for uagtsomhed inden for cybersikkerhed

Twitters tidligere sikkerhedschef hævdede, at virksomheden vildledte regulatorer om dets dårlige cybersikkerhedsforsvar og dets uagtsomhed i forsøget på at udrydde falske konti, der spreder desinformation, ifølge en whistleblower-klage indgivet til amerikanske embedsmænd.

Afsløringen kan skabe alvorlige juridiske og økonomiske problemer for den sociale medieplatform, som i øjeblikket forsøger at tvinge Teslas administrerende direktør Elon Musk til at gennemføre sit tilbud på 44 milliarder dollars om at købe virksomheden. Flere medlemmer af Kongressen opfordrede tirsdag tilsynsmyndigheder til at undersøge påstandene.

Peiter Zatko, der fungerede som Twitters sikkerhedschef, indtil han blev fyret i begyndelsen af ​​året, indgav klagerne i sidste måned til U.S. Securities and Exchange Commission, Federal Trade Commission og Justitsministeriet. Den juridiske nonprofit Whistleblower Aid, som samarbejder med Zatko, bekræftede ægtheden af ​​en redigeret kopi af klagen, der er lagt ud online af Washington Post.

"Dette var en sidste udvej for ham," sagde John Tye, gruppens medstifter og chief disclosure officer, i et interview tirsdag. Han sagde, at Zatko havde udtømt alle forsøg på at få løst sine bekymringer i virksomheden, før han fyrede i januar.

Blandt Zatkos mest alvorlige anklager er, at Twitter overtrådte vilkårene i et FTC-forlig fra 2011 ved falsk at hævde, at det havde sat stærkere foranstaltninger på plads for at beskytte sine brugeres sikkerhed og privatliv. Zatko anklager også virksomheden for bedrageri, der involverer dets håndtering af "spam" eller falske konti, en påstand, der er kernen i Musks forsøg på at bakke ud af Twitter-overtagelsen.

Aktierne i Twitter Inc. lukkede mere end 7 % tirsdag.

Bedre kendt af sit hackerhåndtag "Mudge" er Zatko en højt respekteret cybersikkerhedsekspert, der først vandt frem i 1990'erne og senere arbejdede i ledende stillinger hos Pentagon's Defense Advanced Research Agency og Google.

Han sluttede sig til Twitter efter opfordring fra den daværende administrerende direktør Jack Dorsey i slutningen af ​​2020, samme år som virksomheden led et pinligt sikkerhedsbrud, der involverede hackere, der brød ind på Twitter-konti hos verdens ledere, berømtheder og teknologimoguler, herunder Musk, i et forsøg på at snyder deres følgere ud af bitcoin.

Twitter sagde i en forberedt erklæring tirsdag, at Zatko blev fyret for "ineffektivt lederskab og dårlig præstation" og sagde, at "anklagerne og den opportunistiske timing ser ud til at være designet til at fange opmærksomhed og påføre Twitter, dets kunder og dets aktionærer skade." Virksomheden kaldte hans klage "en falsk fortælling", der er "fyldt med uoverensstemmelser og unøjagtigheder og mangler vigtig kontekst."

Zatkos advokater, Debra Katz og Alexis Ronickher, sagde, at Twitters påstand om hans dårlige præstation er falsk, og at han gentagne gange rejste bekymringer om "groft utilstrækkelige informationssikkerhedssystemer" med topledere og Twitters bestyrelse. Advokaterne sagde, at i slutningen af ​​2021, efter at bestyrelsen fik "hvidkalkede" oplysninger om disse sikkerhedsproblemer, eskalerede Zatko sine bekymringer, "stødte sammen" med CEO Parag Agrawal og bestyrelsesmedlem Omid Kordestani og blev fyret to uger senere.

Den 84 sider lange klage beskriver en brudt virksomhedskultur på Twitter, der manglede effektivt lederskab, og hvor Zatko sagde, at topledere praktiserede "bevidst uvidenhed" om presserende problemer. Hans beskrivelse af Dorseys ledelsesstil er særlig skarp; han beskrev Twitter-grundlæggeren som "ekstremt uengageret" i de sidste måneder af hans embedsperiode som administrerende direktør til det punkt, hvor han ikke engang ville tale under møder om komplekse spørgsmål, som virksomheden står over for.

Zatko sagde, at han hørte fra kolleger, at Dorsey ville forblive tavs i "dage eller uger." Dorsey meddelte, at han stoppede som Twitter CEO i november 2021.

Afsløringen siger, at Twitter ikke tilbød nogen monetære incitamenter til at forbedre sikkerheden og platformens integritet, selvom virksomheden tilbød $10 millioner bonusser sidste år til topledere, der kunne generere kortsigtet brugervækst.

Blandt Zatkos anklager om cybersikkerhedsfejl:Software og sikkerhedsopdateringer blev deaktiveret på mere end en tredjedel af medarbejdernes computere – og udsatte dem uretmæssigt for malware – og det var almindeligt, at folk installerede "uanset hvilken software de ville have på deres arbejdssystemer." Sådanne bortfald betragtes typisk som kardinalsynder i cybersikkerhed.

Whistleblower Aid sagde, at det er juridisk udelukket fra at dele Zatkos udtalelse. Den samme gruppe arbejdede sammen med den tidligere Facebook-medarbejder Frances Haugen, som vidnede til Kongressen sidste år efter at have lækket interne dokumenter og anklaget den sociale mediegigant for at vælge profit frem for sikkerhed.

"Jeg vil ikke sige, at han er glad for at skulle blive whistleblower, men han er resolut i sin beslutning," sagde Tye. "Og forpligtet til at komme til bunds i dette."

En talsmand for det amerikanske senats efterretningskomité, Rachel Cohen, sagde, at udvalget har modtaget Zatkos klage og arbejder på at arrangere et møde "for at diskutere påstandene mere detaljeret. Vi tager denne sag alvorligt."

Sen. Dick Durbin, en Illinois-demokrat, sagde i en forberedt erklæring, at hvis påstandene er nøjagtige, "kan de vise farlige databeskyttelses- og sikkerhedsrisici for Twitter-brugere over hele verden."

Blandt de mest alarmerende klager er Zatkos påstand om, at Twitter bevidst tillod den indiske regering at placere sine agenter på virksomhedens lønningsliste, hvor de havde "direkte uovervåget adgang til virksomhedens systemer og brugerdata."

En klage fra FTC fra 2011 bemærkede, at Twitters systemer var fulde af meget følsomme data, der kunne gøre det muligt for en fjendtlig regering at finde præcise placeringsdata for specifikke brugere og målrette dem mod vold eller arrestation. Tidligere på måneden blev en tidligere Twitter-medarbejder fundet skyldig efter en retssag i Californien for at videregive følsomme Twitter-brugerdata til kongelige familiemedlemmer i Saudi-Arabien i bytte for bestikkelse.

Klagen sagde, at Twitter også var stærkt afhængig af finansiering fra kinesiske enheder, og at der var bekymringer inden for Twitter, at virksomheden gav oplysninger til disse enheder, som ville gøre dem i stand til at lære identificere og følsomme oplysninger om kinesiske brugere, der i hemmelighed bruger Twitter, hvilket er officielt forbudt i Kina.

Zatko beskriver også bevidst uvidenhed hos Twitter-ledere om at tælle de millioner af konti, der er automatiserede "spam-bots" eller på anden måde ikke har nogen værdi for annoncører, fordi der ikke er nogen person bag dem. Zatko citerede en "forbandende" ekstern rapport fra 2021, der fandt, at Twitters værktøjer til at tackle bots hverken var tilstrækkeligt automatiserede eller sofistikerede og i stedet stolede på mennesker "ikke tilstrækkeligt bemandet eller ressourcer til at løse problemet med fejlinformation og desinformation."

Alex Spiro, en advokat, der repræsenterer Musk i hans forsøg på at trække sig ud af sin Twitter-opkøbsaftale, sagde, at advokater har udstedt en stævning for Zatko. "Vi fandt hans exit og andre nøglemedarbejdere nysgerrige i lyset af, hvad vi har fundet," skrev Spiro i en e-mail tirsdag. Spiro sagde, at Zatko og Musk ikke har været i kontakt på noget tidspunkt i år.

Tye sagde "han har aldrig mødt Elon Musk. Kender ikke Elon Musk. De kender folk til fælles." Adspurgt om fælles venner kunne have delt information om Twitters botproblemer med Musk, sagde Tye, at Zatko "ikke har kommunikeret med nogen anden part om hans afsløringer", siden han indgav klagerne i juli. + Udforsk yderligere

Musk siger, at Twitter-aftalen kan komme videre med "bot"-oplysninger

© 2022 The Associated Press. Alle rettigheder forbeholdes. Dette materiale må ikke offentliggøres, udsendes, omskrives eller videredistribueres uden tilladelse.