science >> Wetenschap >  >> Elektronica

klokkenluider beschuldigt Twitter van nalatigheid op het gebied van cyberbeveiliging

Deze afbeelding van Peiter Zatko toont Zatko, de voormalige beveiligingschef van Twitter. Een klokkenluidersklacht van Zatko waarin wordt beweerd dat het bedrijf regelgevers heeft misleid over zijn privacy- en beveiligingsbescherming, inclusief zijn vermogen om nepaccounts te detecteren en uit te roeien, zou Tesla-CEO Elon Musk in de kaart kunnen spelen tijdens een aanstaande proef die gepland staat voor 17 oktober in Delaware. Het juridische team van Musk heeft al een dagvaarding voor Zatko uitgevaardigd. Credit:Parker Thompson/met dank aan Peiter Zatko via AP

Het voormalige hoofd van de beveiliging van Twitter beweerde dat het bedrijf regelgevers heeft misleid over zijn slechte cyberbeveiliging en zijn nalatigheid bij het proberen uit te roeien nepaccounts die desinformatie verspreiden, volgens een klokkenluidersklacht die is ingediend bij Amerikaanse functionarissen.

De onthulling kan ernstige juridische en financiële problemen veroorzaken voor het sociale-mediaplatform, dat momenteel probeert Tesla-CEO Elon Musk te dwingen zijn aanbod van $ 44 miljard om het bedrijf te kopen te voltooien. Verschillende leden van het Congres hebben dinsdag de toezichthouders opgeroepen om de beweringen te onderzoeken.

Peiter Zatko, die de veiligheidschef van Twitter was tot hij begin dit jaar werd ontslagen, diende vorige maand de klachten in bij de Amerikaanse Securities and Exchange Commission, de Federal Trade Commission en het ministerie van Justitie. De juridische non-profit Whistleblower Aid, die samenwerkt met Zatko, bevestigde de authenticiteit van een geredigeerde kopie van de klacht die online is geplaatst door de Washington Post.

"Dit was een laatste redmiddel voor hem", zei John Tye, de medeoprichter en chief disclosure officer van de groep, dinsdag in een interview. Hij zei dat Zatko alle pogingen had uitgeput om zijn zorgen binnen het bedrijf op te lossen voordat hij in januari werd ontslagen.

Een van de ernstigste beschuldigingen van Zatko is dat Twitter de voorwaarden van een FTC-schikking uit 2011 heeft geschonden door ten onrechte te beweren dat het strengere maatregelen had genomen om de veiligheid en privacy van zijn gebruikers te beschermen. Zatko beschuldigt het bedrijf ook van bedrog met betrekking tot de behandeling van "spam" of nepaccounts, een bewering die de kern vormt van Musk's poging om zich terug te trekken uit de Twitter-overname.

De aandelen van Twitter Inc. zijn dinsdag met meer dan 7% gedaald.

Zatko, beter bekend onder zijn hackerhandvat 'Mudge', is een zeer gerespecteerde cyberbeveiligingsexpert die voor het eerst bekendheid verwierf in de jaren negentig en later in hogere functies werkte bij het Defense Advanced Research Agency van het Pentagon en bij Google.

Hij trad eind 2020 toe tot Twitter op aandringen van de toenmalige CEO Jack Dorsey, hetzelfde jaar dat het bedrijf te maken kreeg met een gênante beveiligingsinbreuk waarbij hackers betrokken waren die inbraken in de Twitter-accounts van wereldleiders, beroemdheden en tech-giganten, waaronder Musk, in een poging om hun volgers van bitcoin oplichten.

Twitter zei dinsdag in een voorbereide verklaring dat Zatko werd ontslagen wegens "ineffectief leiderschap en slechte prestaties" en zei dat de "beschuldigingen en opportunistische timing bedoeld lijken om de aandacht te trekken en Twitter, zijn klanten en zijn aandeelhouders schade toe te brengen." Het bedrijf noemde zijn klacht 'een vals verhaal' dat 'doorzeefd is met inconsistenties en onnauwkeurigheden en waarin belangrijke context ontbreekt'.

De advocaten van Zatko, Debra Katz en Alexis Ronickher, zeiden dat Twitter's bewering over zijn slechte prestaties onjuist is en dat hij herhaaldelijk zijn bezorgdheid uitte over "grove ontoereikende informatiebeveiligingssystemen" bij topmanagers en de raad van bestuur van Twitter. De advocaten zeiden dat Zatko eind 2021, nadat het bestuur "witgekalkte" informatie over die beveiligingsproblemen had gekregen, zijn zorgen escaleerde, "botsingen" kreeg met CEO Parag Agrawal en bestuurslid Omid Kordestani en twee weken later werd ontslagen.

De 84 pagina's tellende klacht beschrijft een gebroken bedrijfscultuur bij Twitter die geen effectief leiderschap had en waar Zatko zei dat topmanagers "opzettelijke onwetendheid" beoefenden over dringende problemen. Zijn beschrijving van Dorsey's leiderschapsstijl is bijzonder vernietigend; hij beschreef de Twitter-oprichter als "extreem ongebonden" tijdens de laatste maanden van zijn ambtstermijn als CEO, tot het punt waarop hij niet eens sprak tijdens vergaderingen over complexe kwesties waarmee het bedrijf te maken heeft.

Zatko zei van collega's te hebben gehoord dat Dorsey "dagen of weken" zou zwijgen. Dorsey kondigde aan dat hij in november 2021 zou terugtreden als CEO van Twitter.

De Twitter-applicatie is te zien op een digitaal apparaat, maandag 25 april 2022, in San Diego. Een voormalig hoofd van de beveiliging bij Twitter heeft op dinsdag 23 augustus 2022 klachten van klokkenluiders ingediend bij Amerikaanse functionarissen, volgens rapporten van de Washington Post en CNN. Peiter Zatko, de beveiligingschef van Twitter tot hij begin dit jaar werd ontslagen, diende de klachten vorige maand in bij de Amerikaanse Securities and Exchange Commission, de Federal Trade Commission en het ministerie van Justitie. Krediet:AP Foto/Gregory Bull, Bestand

Volgens de onthulling bood Twitter geen geldelijke prikkels voor het verbeteren van de beveiliging en platformintegriteit, hoewel het bedrijf vorig jaar wel 10 miljoen bonussen aanbood voor topmanagers die op korte termijn gebruikersgroei konden genereren.

Een van Zatko's beschuldigingen van wanpraktijken op het gebied van cyberbeveiliging:software- en beveiligingsupdates waren uitgeschakeld op meer dan een derde van de computers van werknemers - waardoor ze onnodig werden blootgesteld aan malware - en het was gebruikelijk dat mensen 'alle software die ze wilden op hun werksystemen installeerden'. Dergelijke fouten worden doorgaans beschouwd als hoofdzonden in cyberbeveiliging.

Klokkenluider Aid zei dat het wettelijk is uitgesloten van het delen van de verklaring van Zatko. Dezelfde groep werkte samen met voormalig Facebook-medewerker Frances Haugen, die vorig jaar voor het Congres getuigde nadat hij interne documenten had gelekt en de socialemediagigant ervan beschuldigde winst boven veiligheid te verkiezen.

"Ik zou niet zeggen dat hij blij is dat hij klokkenluider moet worden, maar hij is vastberaden in zijn beslissing", zei Tye. "En toegewijd om dit tot op de bodem uit te zoeken."

Een woordvoerder van de inlichtingencommissie van de Amerikaanse senaat, Rachel Cohen, zei dat de commissie de klacht van Zatko heeft ontvangen en werkt aan het opzetten van een vergadering "om de beschuldigingen in meer detail te bespreken. We nemen deze zaak serieus."

Sen. Dick Durbin, een democraat uit Illinois, zei in een voorbereide verklaring dat als de beweringen juist zijn, "ze gevaarlijke gegevensprivacy- en veiligheidsrisico's kunnen vertonen voor Twitter-gebruikers over de hele wereld."

Een van de meest verontrustende klachten is de bewering van Zatko dat Twitter de Indiase regering willens en wetens toestond haar agenten op de loonlijst van het bedrijf te plaatsen waar ze 'directe, onbewaakte toegang hadden tot de systemen en gebruikersgegevens van het bedrijf'.

Een FTC-klacht uit 2011 merkte op dat de systemen van Twitter vol zaten met zeer gevoelige gegevens die een vijandige regering in staat zouden kunnen stellen om precieze locatiegegevens voor specifieke gebruikers te vinden en hen te richten op geweld of arrestatie. Eerder deze maand werd een voormalige Twitter-medewerker schuldig bevonden na een proces in Californië voor het doorgeven van gevoelige Twitter-gebruikersgegevens aan koninklijke familieleden in Saoedi-Arabië in ruil voor steekpenningen.

De klacht zei dat Twitter ook sterk afhankelijk was van financiering door Chinese entiteiten en dat er binnen Twitter bezorgdheid bestond dat het bedrijf informatie aan die entiteiten verstrekte die hen in staat zou stellen de identiteit en gevoelige informatie te achterhalen van Chinese gebruikers die in het geheim Twitter gebruiken, wat officieel verboden in China.

Zatko beschrijft ook de opzettelijke onwetendheid van Twitter-managers bij het tellen van de miljoenen accounts die geautomatiseerde "spambots" zijn of anderszins geen waarde hebben voor adverteerders omdat er geen persoon achter hen zit. Zatko citeerde een "vernietigend" rapport van buiten 2021 waarin werd vastgesteld dat de tools van Twitter om bots aan te pakken niet voldoende geautomatiseerd of geavanceerd waren en in plaats daarvan vertrouwden op mensen "die niet voldoende bemand of voldoende middelen hadden om het probleem van desinformatie en desinformatie aan te pakken."

Alex Spiro, een advocaat die Musk vertegenwoordigt in zijn poging om zich terug te trekken uit zijn Twitter-acquisitieovereenkomst, zei dat advocaten Zatko hebben gedagvaard. "We vonden zijn vertrek en dat van andere belangrijke medewerkers nieuwsgierig in het licht van wat we hebben gevonden", schreef Spiro dinsdag in een e-mail. Spiro zei dat Zatko en Musk dit jaar op geen enkel moment contact hebben gehad.

Tye zei:"hij heeft Elon Musk nog nooit ontmoet. Hij kent Elon Musk niet. Ze kennen mensen gemeenschappelijk." Op de vraag of wederzijdse vrienden informatie over de botproblemen van Twitter met Musk hadden kunnen delen, zei Tye dat Zatko "met geen enkele andere partij heeft gecommuniceerd over zijn onthullingen" sinds hij de klachten in juli indiende. + Verder verkennen

Musk zegt dat Twitter-deal kan doorgaan met 'bot'-info

© 2022 The Associated Press. Alle rechten voorbehouden. Dit materiaal mag niet worden gepubliceerd, uitgezonden, herschreven of opnieuw verspreid zonder toestemming.