Kredit:Pixabay/CC0 Public Domain
Peiter Zatko, den tidigare säkerhetschefen på Twitter som blev whistleblower, sa till senatens rättsutskott på tisdagen att sociala medieföretagets säkerhetspraxis var så svag att utländska regeringar kunde placera agenter på företagets lönelista.
Zatko berättade också för lagstiftare att amerikanska tillsynsmyndigheter inte kan övervaka tekniska företag, och pekar ut Federal Trade Commission som en överhuvudtaget och låter teknikföretag "betygsätta sina egna läxor." USA:s praxis att utskälla företag med engångsböter "prisas in" av Twitter och andra teknikföretag som kostnaden för att göra affärer, sade han.
Hans vittnesmål följde på klagomål som han lämnade in till FTC, Securities and Exchange Commission och justitiedepartementet. Washington Post avslöjade först hans avslöjanden förra månaden.
Trots utfrågningen förväntas kongressen inte vidta åtgärder för att övervaka beteendet hos Twitter eller andra sociala medieföretag. Två senatens lagförslag som skulle behandla datasekretess för barn och minderåriga har godkänts av senatens handelsutskott, men de har inte fått några åtgärder.
Senatens rättsväsendemedlem Amy Klobuchar, D-Minn., citerade bristen på åtgärder vid utfrågningen på tisdagen. "Vi har inte godkänt ett lagförslag från den amerikanska senaten när det gäller konkurrens, när det gäller integritet, när det gäller bättre finansieringsorgan", sa hon. "Jag tror att det är bättre att vi sätter spegeln på oss själva."
Zatko sa att den indiska regeringen kunde placera en agent på Twitters kontor i Indien som anställd medan företaget och regeringen förhandlade om plattformens innehållspolicy. "Jag såg med stor tillförsikt en utländsk agent placerad från Indien för att förstå förhandlingarna", sa han, "och hur bra de gick för eller emot" Indiens styrande Bharatiya Janata-parti.
Den indiska regeringen har sedan 2021 bett Twitter att ta bort så många som 1 400 konton, enligt en rapport från Bloomberg News i juli som citerade icke namngivna källor. Twitter ifrågasatte den indiska regeringens order i domstolen i juni; resultatet väntar.
Senatens ordförande Richard J. Durbin, D-Ill., ringde Zatkos anklagelser om. Området av stor oro är utländska regeringars och utländska myndigheters tillgång till data som amerikanska användare kan tillhandahålla till plattformen, sa han och tillade att amerikaner "ingen aning om att de är sårbara för den möjligheten."
I augusti dömdes en tidigare Twitter-chef som anklagades för att ha spionerat för Saudiarabien i San Francisco på sex brottspunkter. Åklagare sa att en rådgivare till Saudiarabiens kronprins Mohammed bin Salman rekryterade Ahmad Abouammo för att använda sin insiderkunskap för att komma åt Twitter-konton och gräva fram personlig information om saudiska dissidenter.
Zatko sa att Twitter hade få av de standardsäkerhetsmetoder som används på flera teknikföretag och andra företag med protokoll som anger vilka anställda som har tillgång till vilka datorsystem och/eller underhållsloggar för anställdas aktivitet. Tusentals ingenjörer på Twitter har tillgång till företagets produktionssystem eller datornätverken som är värd för den sociala medieplattformen och användarnas data, sade han.
Många företag skapar ett separat nätverk där nya medarbetare utbildas och nya erbjudanden testas innan de lanseras i produktionssystemet, sa Zatko.
Twitter förde inte loggar över vilka ingenjörer som hade tillgång till vilka system, sa han. Som ett resultat har tusentals anställda tillgång till all information från Twitter-användare, vilket gör företaget till ett rikt mål för insamling av underrättelser om användare av utländska regeringar, sa Zatko.
President Barack Obamas Twitter-konto hackades 2009. Hackare fick också tillgång till Obamas konto 2020, liksom de av dåvarande presidentkandidaten Joe Biden, Tesla-grundaren Elon Musk och 100 andra.
Zatko beskrev ett företag så fokuserat på att lägga till nya användare och öka intäkterna att det inte sparade tid, resurser eller personal för att införa säkerhetsåtgärder. Twitter tillät kinesiska företag som kan ha haft kopplingar till regeringen att annonsera på plattformen trots att det är förbjudet i Kina, sa Zatko. Användare som klickade på dessa annonser kan ha utsatt sig för datainsamling av kinesiska företag, sade han.
"Twitter var ett företag som styrdes av risker och kriser, istället för ett som hanterade risker och kriser," sa Zatko.
Företagets högsta chefer ville inte höra om säkerhetsbrister, sa Zatko.
Amerikanska tillsynsmyndigheter "över huvudet"
Zatko sa att amerikanska federala myndigheter är bedrövligt otillräckliga när det gäller att bevaka tekniska företag, och noterade att FTC i synnerhet inte kunde genomdriva ett samtyckesdekret från 2011 med Twitter om att skydda användarnas data.
"Jag tror att FTC, ärligt talat, är lite över huvudet ... jämfört med storleken på de stora teknikföretagen och utmaningen de har mot dem", sa han.
Twitter var mer rädd för utländska tillsynsmyndigheter – inklusive Frankrikes dataskyddsbyrå, känd som CNIL – än för FTC, sa Zatko. Till skillnad från FTC, som tar ut engångsböter, är Frankrike och andra utländska tillsynsorgan mer benägna att införa strukturella åtgärder för tekniska företag som kan skada resultatet och få investerarnas uppmärksamhet, sa Zatko.
I maj bötfällde FTC Twitter med 150 miljoner dollar för att ha brutit mot ett samtyckesdekret från 2011 genom att samla in kunders personliga information för det uttalade säkerhetsändamålet och sedan utnyttja den kommersiellt. + Utforska vidare
2022 CQ-Roll Call, Inc., med ensamrätt. Distribueras av Tribune Content Agency, LLC.
