Logotypen för Twitter visas ovanför en handelspost på golvet på New York-börsen den 29 november 2021. Uppseendeväckande nya avslöjanden från Twitters tidigare säkerhetschef, Peiter Zatko, har väckt allvarliga nya frågor om säkerheten för plattformens tjänst , dess förmåga att identifiera och ta bort falska konton, och sanningshalten i dess uttalanden till användare, aktieägare och federala tillsynsmyndigheter. Kredit:AP Photo/Richard Drew, Arkiv
Uppseendeväckande nya avslöjanden från Twitters tidigare säkerhetschef, Peiter Zatko, har väckt allvarliga nya frågor om säkerheten för plattformens tjänst, dess förmåga att identifiera och ta bort falska konton och sanningshalten i dess uttalanden till användare, aktieägare och federala tillsynsmyndigheter.
Zatko – mer känd av sitt hackerhandtag "Mudge" – är en respekterad cybersäkerhetsexpert som först fick framträdande plats på 1990-talet och senare arbetade i ledande befattningar på Pentagon's Defense Advanced Research Agency och Google. Twitter sparkade honom från säkerhetsjobbet tidigt i år för vad företaget kallade "ineffektivt ledarskap och dålig prestation". Zatkos advokater säger att påståendet är falskt.
I ett klagomål från en whistleblower som offentliggjordes på tisdagen, dokumenterade Zatko vad han beskrev som sin uppåtgående 14-månaders ansträngning för att stärka Twitter-säkerheten, öka tillförlitligheten för dess tjänst, avvärja intrång från agenter från utländska regeringar och både mäta och vidta åtgärder mot falska "bot". konton som spammade plattformen.
Många av Zatkos påståenden har inte bekräftats och klagomålet gav inget dokumentärt stöd för dem. I ett uttalande kallade Twitter Zatkos beskrivning av händelser "en falsk berättelse."
Här är fem tips från det där anmälan från visselblåsare.
TWITTERS SÄKERHETS- OCH SEKRETESSSYSTEM VAR STORT Otillräckliga
Under 2011 avgjorde Twitter en utredning av Federal Trade Commission om dess sekretesspraxis genom att gå med på att införa starkare datasäkerhetsskydd. Zatkos klagomål hävdar att Twitters problem blev värre med tiden istället.
Till exempel, enligt klagomålet, tillät Twitters interna system alldeles för många anställda tillgång till personlig användardata som de inte behövde för sina jobb – en situation mogen för missbruk. I flera år fortsatte Twitter också att utvinna användardata som telefonnummer och e-postadresser – endast avsedda för säkerhetsändamål – för annonsinriktning och marknadsföringskampanjer, enligt klagomålet.
TWITTERS HELA TJÄNST KAN HA SAMMANFATTAT IRREPARABILT UNDER STRESS
En av de mest slående avslöjandena i Zatkos klagomål är påståendet att Twitters interna datasystem var så fallfärdiga – och företagets beredskapsplaner så otillräckliga – att varje omfattande krasch eller oplanerad avstängning kunde ha orsakat hela plattformen.
Oron var att ett "kaskadande" datacenterfel snabbt kunde spridas över Twitters ömtåliga informationssystem. Som klagomålet uttryckte det:"Det innebar att om alla centra gick offline samtidigt, till och med kort, var Twitter osäker på om de kunde få upp tjänsten igen. Uppskattningar av driftstopp varierade från veckors arbete dygnet runt, till permanent irreparabelt misslyckande ."
TWITTER MISLEDAD REGULATORER, INVESTERARE OCH MUSK OM FAKE "SPAM" BOTS
I huvudsak anger Zatkos klagomål att Teslas vd Elon Musk – vars bud på 44 miljarder dollar för att förvärva Twitter är på väg till oktoberrättegång i en domstol i Delaware – är korrekt när han anklagar att Twitter-chefer har lite incitament att korrekt mäta förekomsten av falska konton på system.
I klagomålet anklagas att företagets verkställande ledning utövade "avsiktlig okunnighet" om ämnet för dessa så kallade spambots. "Ledande ledning hade ingen aptit på att korrekt mäta prevalensen av botkonton", står det i klagomålet och tillägger att chefer var oroliga för att korrekta botmätningar skulle skada Twitters "image och värdering."
DEN JAN. 6, 2021, KAN TWITTER HA VARIT UTSÄTTAD FÖR MISSNÖJDA ANSTÄLLDA
Zatkos klagomål säger att när en mobb samlades framför U.S.C. Capitolium den 6 januari 2021, och så småningom stormade byggnaden, började han oroa sig för att anställda som sympatiserade med upprorsmakarna skulle kunna försöka sabotera Twitter. Denna oro ökade när han fick reda på att det var "omöjligt" att skydda plattformens kärnsystem från en hypotetisk skurk eller missnöjd ingenjör som syftar till att skapa förödelse.
"There were no logs, nobody knew where data lived or whether it was critical, and all engineers had some form of critical access" to Twitter's core functions, the complaint states.
A PLAYGROUND FOR FOREIGN GOVERNMENTS
The Zatko complaint also highlights Twitter's difficulty in identifying—much less resisting—the presence of foreign agents on its service. In one instance, the complaint alleges, the Indian government required Twitter to hire specific individuals alleged to be spies, and who would have had significant access to sensitive data thanks to Twitter's own lax security controls. The complaint also alleges a murkier situation involving taking money from unidentified "Chinese entities" that then could access data that might endanger Twitter users in China. + Utforska vidare
© 2022 Associated Press. Alla rättigheter förbehållna. Detta material får inte publiceras, sändas, skrivas om eller omdistribueras utan tillstånd.
