Verrassende nieuwe onthullingen van het voormalige hoofd van de beveiliging van Twitter, Peiter Zatko, hebben serieuze nieuwe vragen doen rijzen over de veiligheid van de service van het platform, het vermogen om nepaccounts te identificeren en te verwijderen, en de waarheidsgetrouwheid van de verklaringen aan gebruikers, aandeelhouders en federale toezichthouders.

Zatko - beter bekend onder zijn hacker-handle "Mudge" - is een gerespecteerde cyberbeveiligingsexpert die voor het eerst bekendheid verwierf in de jaren negentig en later in hogere functies werkte bij het Defense Advanced Research Agency van het Pentagon en bij Google. Twitter ontsloeg hem begin dit jaar van de beveiligingsbaan vanwege wat het bedrijf 'ineffectief leiderschap en slechte prestaties' noemde. De advocaten van Zatko zeggen dat die bewering vals is.

In een klokkenluidersklacht die dinsdag openbaar werd gemaakt, documenteerde Zatko wat hij beschreef als zijn zware 14-maanden durende inspanning om de Twitter-beveiliging te versterken, de betrouwbaarheid van zijn service te vergroten, inbreuken door agenten van buitenlandse regeringen af ​​te weren en zowel maatregelen te nemen als actie te ondernemen tegen valse "bot" accounts die het platform spamden.

Veel van Zatko's beweringen zijn niet bevestigd en de klacht bood geen documentaire ondersteuning voor hen. In een verklaring noemde Twitter Zatko's beschrijving van de gebeurtenissen 'een vals verhaal'.

Hier zijn vijf lessen uit die klokkenluidersklacht.

DE VEILIGHEIDS- EN PRIVACYSYSTEMEN VAN TWITTER WAREN GROOT ONVOLDOENDE

In 2011 regelde Twitter een onderzoek van de Federal Trade Commission naar haar privacypraktijken door in te stemmen met sterkere gegevensbeveiligingsbeschermingen. De klacht van Zatko stelt dat de problemen van Twitter in de loop van de tijd erger werden.

De klacht stelt bijvoorbeeld dat de interne systemen van Twitter veel te veel werknemers toegang gaven tot persoonlijke gebruikersgegevens die ze niet nodig hadden voor hun werk - een situatie die rijp was voor misbruik. Twitter bleef ook jarenlang gebruikersgegevens zoals telefoonnummers en e-mailadressen - alleen bedoeld voor veiligheidsdoeleinden - voor advertentietargeting en marketingcampagnes, volgens de klacht.

TWITTER'S VOLLEDIGE DIENST KAN ONHERSTELBAAR ZIJN ONDER STRESS INGEVAL

Een van de meest opvallende onthullingen in Zatko's klacht is de bewering dat de interne datasystemen van Twitter zo bouwvallig waren - en de noodplannen van het bedrijf zo ontoereikend - dat een wijdverbreide crash of ongeplande sluiting het hele platform had kunnen bederven.

De zorg was dat een storing in het datacenter zich snel zou kunnen verspreiden over de kwetsbare informatiesystemen van Twitter. Zoals de klacht het verwoordde:"Dat betekende dat als alle centra tegelijkertijd offline zouden gaan, al was het maar voor een korte tijd, Twitter niet zeker wist of ze de service weer zouden kunnen herstellen. De geschatte uitvaltijd varieerde van weken van 24 uur per dag werk tot een permanente onherstelbare storing ."

TWITTER MISLEED REGULATOREN, INVESTEERDERS EN MUSK OVER NEP "SPAM" BOTS

In wezen stelt Zatko's klacht dat Elon Musk, de CEO van Tesla, - wiens bod van $ 44 miljard om Twitter over te nemen op weg is naar een proces in oktober in een rechtbank in Delaware - correct is wanneer hij beschuldigt dat Twitter-managers weinig prikkels hebben om de prevalentie van nepaccounts op de website nauwkeurig te meten. systeem.

De klacht beschuldigt de directie van het bedrijf van "opzettelijke onwetendheid" met betrekking tot deze zogenaamde spambots. "Senior management had geen zin om de prevalentie van botaccounts goed te meten", stelt de klacht, eraan toevoegend dat leidinggevenden bang waren dat nauwkeurige botmetingen het "imago en de waardering" van Twitter zouden schaden.

OP JAN. 6, 2021, TWITTER KAN IN GENADE ZIJN VAN ONTEVREDEN WERKNEMERS

Zatko's klacht stelt dat toen een menigte zich verzamelde voor het Capitool op 6 januari 2021 en uiteindelijk het gebouw bestormde, hij zich zorgen begon te maken dat werknemers die sympathie hadden voor de relschoppers, zouden kunnen proberen Twitter te saboteren. Die bezorgdheid nam toe toen hij hoorde dat het "onmogelijk" was om de kernsystemen van het platform te beschermen tegen een hypothetische malafide of ontevreden ingenieur die verwoesting wilde aanrichten.

"There were no logs, nobody knew where data lived or whether it was critical, and all engineers had some form of critical access" to Twitter's core functions, the complaint states.

A PLAYGROUND FOR FOREIGN GOVERNMENTS

The Zatko complaint also highlights Twitter's difficulty in identifying—much less resisting—the presence of foreign agents on its service. In one instance, the complaint alleges, the Indian government required Twitter to hire specific individuals alleged to be spies, and who would have had significant access to sensitive data thanks to Twitter's own lax security controls. The complaint also alleges a murkier situation involving taking money from unidentified "Chinese entities" that then could access data that might endanger Twitter users in China. + Verder verkennen

Whistleblower accuses Twitter of cybersecurity negligence

© 2022 The Associated Press. Alle rechten voorbehouden. Dit materiaal mag niet worden gepubliceerd, uitgezonden, herschreven of opnieuw verspreid zonder toestemming.