Twitter’ın eski güvenlik başkanı Peiter “Mudge” Zatko, eski işverenini siber güvenlik ihmali ile suçladı. CNN ve Washington post.
Tanınmış bir bilgisayar korsanı olan Zatko, 2020 yılının sonlarında, çok açık bir ihlalin bilgisayar korsanlarının Joe Biden ve Elon da dahil olmak üzere dünyanın en ünlü insanlarından bazılarının Twitter hesaplarını ele geçirdiğini gördükten aylar sonra, şirketin güvenlik bölümünün başına geçmek üzere Twitter tarafından işe alındı. Misk. İki yıldan kısa bir süre sonra şirketten ayrıldı.
Twitter’da geçirdiği süre kısa olmasına rağmen, Zatko, ABD Menkul Kıymetler ve Borsa Komisyonu’na sunulan 6 Temmuz tarihli ihbarcı şikayetine göre, “korkunç eksiklikler, ihmal, kasıtlı cehalet ve ulusal güvenlik ve demokrasiye yönelik tehditlere” tanık olduğunu söyledi ( SEC), Federal Ticaret Komisyonu (FTC) ve Adalet Bakanlığı. Washington Post’a verdiği demeçte, halka açık bilgi uçurmasının, güvenlik hatalarını Twitter’ın yönetim kuruluyla işaretleme girişimlerinin göz ardı edilmesinden sonra geldiğini söyledi.
Zatko, TechCrunch tarafından incelenen şikayette Twitter’ın temel güvenlik kontrollerinden yoksun olduğunu iddia ediyor. Binlerce çalışan dizüstü bilgisayarın Twitter’ın kaynak kodunun tam kopyalarını içerdiğini ve bu cihazların yaklaşık üçte birinin otomatik güvenlik düzeltmelerini engellediğini, sistem güvenlik duvarlarının kapatıldığını ve onaylanmamış amaçlar için uzak masaüstü erişiminin etkinleştirildiğini söyledi. Zatko ayrıca şirketi, çalışanların bilgisayarlarında ne yaptığını aktif olarak izlememekle de suçladı. Sonuç olarak, “çalışanların sürekli olarak harici kuruluşların talebi üzerine iş bilgisayarlarına kasıtlı olarak casus yazılım yüklediği tespit edildi” dedi.
Zatko ayrıca, yaklaşık 5.000 tam zamanlı çalışanın şirketin dahili yazılımına geniş erişime sahip olduğunu ve bu erişimin yakından izlenmediğini ve onlara hassas verilere erişme ve hizmetin çalışma şeklini değiştirme yeteneği verdiğini iddia ediyor.
Şirkette geçirdiği süre boyunca Zatko, “keşfedilmeyi bekleyen” bir dizi güvenlik açığıyla karşılaştığını söyledi. Şirketin 500.000 veri merkezi sunucusunun yarısının, depolanan veriler için şifreleme gibi temel güvenlik özelliklerini desteklemeyen veya satıcılarından artık düzenli güvenlik güncellemeleri almayan eski yazılımlarda çalıştığını keşfettiğini söylüyor. Anormal derecede yüksek güvenlik olayı oranı” diyen Zatko, 150 milyona yakın Amerikalının kişisel bilgilerinin çalınmasıyla sonuçlanan 2017 kredi kuruluşu ihlaline atıfta bulunarak “Twitter’ın Equifax düzeyinde bir saldırıya maruz kalmasından makul ölçüde korktu” dedi.
Şikayet, şirketin her hafta yaklaşık bir güvenlik olayı yaşadığını ve Twitter’ın bunu devlet kurumlarına bildirmesini gerektirecek kadar ciddi olduğunu iddia ediyor.
Şikayette, “Yalnızca 2020’de Twitter, %70’i erişim kontrolüyle ilgili olan 40’tan fazla güvenlik olayı yaşadı. “Bunlar, ihlal olarak tanımlanan 20 olayı içeriyordu; ikisi hariç hepsi erişim kontrolüyle ilgiliydi.”
Ciddi siber güvenlik başarısızlıkları iddialarının ötesinde, Zatko ayrıca Hindistan hükümetinin Twitter’ı ajanlarından birini işe almaya zorladığını ve şirketin sürekli olarak şartlarını ihlal ettiğini iddia ediyor. FTC ile 2011 anlaşması. Şikayet, Twitter’ın, hesaplarını iptal ettikten sonra, bazı durumlarda şirketin bilgilerin izini kaybettiği ve düzenleyicileri, verileri olduğu gibi silip silmediği konusunda yanlış yönlendirdiği için, doğrudan mesajlar da dahil olmak üzere kullanıcıların verilerini güvenilir bir şekilde silmediğini iddia ediyor. yapmak için gereklidir.
Şikayetin, Twitter’ın sosyal medya platformunu satın almak için 44 milyar dolarlık bir sözleşmeden kurtulmaya çalışan Musk ile yasal savaşı için de potansiyel etkileri var. Zatko, Twitter yöneticilerinin platformdaki gerçek bot sayısını tam olarak anlayacak kaynaklara sahip olmadığını ve bunu yapmak için motive olmadıklarını söyledi.
Twitter sözcüsü Madeline Broas, TechCrunch’a ortak bir açıklamada şunları söyledi: “Bay. Zatko, Ocak 2022’de Twitter’daki üst düzey yönetici rolünden etkisiz liderlik ve düşük performans nedeniyle kovuldu. Şimdiye kadar gördüğümüz, Twitter ve gizlilik ve veri güvenliği uygulamalarımız hakkında tutarsızlıklar ve yanlışlıklarla dolu ve önemli bağlamdan yoksun yanlış bir anlatım. Bay Zatko’nun iddiaları ve fırsatçı zamanlaması, Twitter’a, müşterilerine ve hissedarlarına dikkat çekmek ve zarar vermek için tasarlanmış görünüyor. Güvenlik ve gizlilik, Twitter’da uzun süredir şirket çapında öncelikler olmuştur ve olmaya devam edecektir.”