Twitter’ın eski güvenlik şefi, sosyal medya platformunu büyük ulusal güvenlik etkileri olabilecek siber saldırılara açık hale getirebilecek güvenlik açıkları da dahil olmak üzere, yayılan siber güvenlik zayıflıkları olarak nitelendirdiği şey hakkında düdük çaldı.
Bu, 2022 ABD ara seçimlerinden önce kullanıcıların yabancı manipülasyonuna, hesap korsanlığına ve casusluğa ve dezenformasyon kampanyalarına izin verebileceğini iddia ettiği konuları ayrıntılandıran 200+ sayfalık bir açıklamayı Kongre’ye gönderen Peiter “Mudge” Zatko’nun iddiası.
Özel olarak CNN ve The Washington Post tarafından elde edilen ifşa, en patlayıcı şekilde, teknoloji devinin aslında yabancı istihbarat için çalışan tesisler olan bir veya daha fazla çalışanı olduğunu ve üst düzey yöneticilerin aktif olarak Twitter’ın ciddi güvenlik açıklarını örtbas etmekle meşgul olduğunu iddia ediyor. .
Etik bilgisayar korsanlığı alanında onlarca yıllık bir geçmişe ve itibara sahip olan Zatko, yanlış yönetimin ve uyumlu güvenlik gözetiminin eksikliğinin şirketin en hassas bilgi ve kontrol platformlarına aşırı izinli erişime izin verirken, botların (dezenformasyon) olduğu bir iç sahne ortaya koydu. -odaklı ve başka türlü) çılgına döner ve kurumsal liderlik başka yöne bakar. Başlamak için, Zatko, Twitter CEO’su Parag Agrawal’ın kendisine Twitter’ın güvenlik sorunlarıyla ilgili raporlarını hak ettiğinden daha pembe hale getirmesini söylediğini ve şirketin güvenlik konusunda ilerleme kaydediyormuş gibi görünmesi için zararlı verileri ihmal etmeye yönlendirildiğini söyledi. ve gizlilik cepheleri.
Gizlilik söz konusu olduğunda, Zatko ayrıca Twitter’ın kullanıcı bilgilerini iyi bir şekilde yönetmediğini, genellikle bu bilgilerin izini kaybettiğini veya gerektiğinde (bir kullanıcının bir hesabı iptal etmesi gibi) verileri silmediğini iddia etti.
İddialar kesinlikle “bomba” kategorisine giriyor, ancak güvenlik camiasından bazıları, özellikle 2020’de Twitter’ın iç kontrol platformlarına erişebilen bir saldırgan tarafından doğrulanmış hesapların rezil uzlaşması göz önüne alındığında, iddialara şaşırmıyor.
Vectra’da SaaS Protect’in baş teknoloji sorumlusu Aaron Turner, “2020 olayından sonra koordine ettiğim araştırmalardan, Twitter’ın sistemlerinin geliştiricileri ve yöneticileri için uygun ayrıcalıklı kullanıcı yönetimi kontrollerine veya görev ayrımı politikalarına sahip olmadığı açıktı” dedi. . “Mudge’ın açıklaması doğruysa, Twitter’ın kullanıcı yönetimi kontrolleri ve politikalarıyla birlikte önemli bir sistem hijyeni sorunu var, o zaman Twitter’ın tüm platformu tehlikeye girme riskiyle karşı karşıya.”
Twitter ise iddiaları reddediyor ve Zatko’nun Ocak ayında “düşük performans” nedeniyle kovulması nedeniyle itibarsızlaştırılması gerektiğini iddia ediyor.
Bir Twitter sözcüsü, “Bay Zatko, Ocak 2022’de Twitter’daki üst düzey yönetici rolünden etkisiz liderlik ve düşük performans nedeniyle kovuldu.” CNN’e anlattı. “Bay Zatko’nun iddiaları ve fırsatçı zamanlaması, Twitter’a, müşterilerine ve hissedarlarına dikkat çekmek ve zarar vermek için tasarlanmış görünüyor. Güvenlik ve mahremiyet, Twitter’da uzun süredir şirket çapında öncelikler olmuştur ve olmaya devam edecektir.”
Agrawal Salı günü tartıştı ve şöyle dedi: Twitter’da yayınlanan kurumsal not şirketin iddiaları gözden geçirdiğini söyledi. “Şu ana kadar gördüğümüz şey, Twitter ve gizlilik ve veri güvenliği uygulamalarımız hakkında tutarsızlıklar ve yanlışlıklarla dolu ve önemli bir bağlamdan yoksun yanlış bir anlatım” diye yazdı.
Milletvekilleri, Siber Güvenlik Topluluğu Tepkisi
Zatko’nun raporunun koridorun her iki tarafındaki milletvekillerinin dikkatini çektiği göz önüne alındığında, gerçeğin nerede olduğu er ya da geç ortaya çıkabilir. Senato Yargı Başkanı Senatör Dick Durbin (D-Ill.), “bu endişe verici iddiaların temeline inmek için gereken ek adımları atacağını söyledi. …Bir Twitter muhbirinden aldığım iddialar ciddi ulusal güvenlik endişeleri doğuruyor. “
Yargı Komitesi’nin kıdemli üyesi Senatör Chuck Grassley (R-Iowa), CNN’ye, iddiaların çok yüksek alarm zillerini yükseltmesi gerektiğini söyledi.
“Muazzam miktarda kullanıcı verisi toplayan bir teknoloji platformunu alın, bunu inanılmaz derecede zayıf bir güvenlik altyapısıyla birleştirin ve bir gündemle yabancı devlet aktörlerine aşılayın ve felaket için bir reçeteniz var” dedi. . “Bir Twitter muhbirinden aldığım iddialar, mahremiyet sorunlarının yanı sıra ciddi ulusal güvenlik endişelerini de gündeme getiriyor ve bunların daha fazla soruşturulması gerekiyor.”
Bugcrowd’un kurucusu ve CTO’su Casey Ellis, incelemenin sosyal medya platformlarının ne kadar gözetim, inceleme ve düzenlemeye sahip olması gerektiği konusunda daha büyük bir tartışma başlatacağını umduğunu söyledi.
“Açıklamaların ayrıntıları hakkında konuşamam, ancak bunun sosyal medya platformlarının kritik altyapı özellikleri ve bunun güvenlik ve mahremiyet üzerindeki etkileri hakkında bir tartışma başlattığını görmekten kesinlikle memnunum – özellikle ABD yaklaşırken. 2024 seçimlerine hazırlanıyor. Kritik altyapı olarak bu sınıflandırmanın Twitter ve diğer sosyal platformların kaçınmak istediği bir şey olduğu açık, ancak bu bizim yapmamız gereken bir konuşma.”
Bu arada, siber güvenlik topluluğu üyeleri, Zatko’nun karakterine ve dürüstlük konusundaki siciline işaret ederek etrafında toplandı.
Ellis, Dark Reading’e şunları söylüyor: “Mudge, dürüstlüğü ilk sıraya koyma konusunda uzun ve sağlam bir üne sahip. Aynı zamanda, ortalığı karıştırmak için nadiren boyunlarını dışarı çıkaran, ancak bunu yaptıklarında, neredeyse kesinlikle dikkat etmeye değer olan o bilgi güvenliği yaşlılarından biri. . “Bu, 1998’deki L0pht ifadesine kadar uzanıyor ve bu, Kongre’ye zamanından çok önce bilgisayar güvensizliği konusunda bir uyarıydı. infosec topluluğunun safları kapatma şekli Bu sabah Mudge’da başkaları da aynı şekilde hissediyor. Infosec aptallara tahammül etmez ve sansasyonalizm için keskin bir göze sahiptir ve bence bugünkü tepki hem onun karakterine hem de iddiaların kendisine çok güçlü bir şekilde hitap ediyor.”
Turner bu duyguları tekrarlıyor.
“Mudge’ı ilk günlerinden beri tanıyorum. Ölü İnek Kültü” diyor Turner. “Ben Microsoft’tayken, o ve @stake ekibi, güvenlik stratejimizi ve taktiklerimizi temelden geliştirmemize yardımcı oldu. Son 20 yılda hükümet projelerinde çalıştığım için, DARPA’daki çalışmasının ABD hükümetinin siber güvenliğe yaklaşma biçiminde önemli bir fark yarattığını söyleyebilirim. Her zaman en yüksek dürüstlük düzeyine sahip olmuştur ve aynı zamanda sistemlerin geliştirilmesi ve işletilmesine ilişkin en yüksek teknik standartlara bağlı kalmaktadır. Mudge, Twitter’ın siber güvenlik sorunları olduğunu söylüyorsa, Twitter’ın bazı büyük sorunları var.”
Twitter, Dark Reading’in iddialarla ilgili yorum talebine hemen yanıt vermedi.