Da den tidligere Twitter-sjefen Jack Dorsey ansatte Peiter Zatko som Twitters sikkerhetssjef i 2020, trodde at hackeren som ble cybersikkerhetsspesialist kunne hjelpe selskapet med å forbedre sikkerheten holdning. Men to år senere kunne ikke Peiter hjelpe Twitter eller så ville selskapet ikke ha hans hjelp. Han fikk sparken for ineffektivt lederskap og dårlig ytelse, men Zatko hevder noe annet.
Han sendte inn en klage til Securities and Exchange Commission (SEC), Federal Trade Commission (FTC) og justisdepartementet og anklaget Twitter for forsettlig uvitenhet og store sikkerhetsfeil.
Det er en litani av anklager, hver mer fordømmende enn den neste. Her er flere avsløringer fra Zatkos siktelse mot Twitter.
1. Farlige sikkerhetssårbarheter
Blant de mest alvorlige påstandene Zatko kom med mot Twitter er at selskapet gjør lite for å beskytte sine 238 millioner daglige brukere (som inkluderer statsoverhoder, offentlige etater og innflytelsesrike offentlige personer) mot hackere.
Han hevder at halvparten av Twitter-serverne kjører utdatert programvare og nesten en fjerdedel av de ansatte har deaktivert programvareoppdateringer på systemene sine som kan gi viktige sikkerhetsoppdateringer.
Hvis det er sant, kan Twitter holdes i strid med 2011-avtale med FTCom forbrukersikkerhet. Avtalen krevde at selskapet skulle lage og vedlikeholde en solid informasjonssikkerhetsmodell som skulle inspiseres av en uavhengig revisor i 10 år.
2. Problematiske interne tilganger
En faktor som gjør plattformen sårbar er den omfattende og unødvendige tilgangen ansatte angivelig har til produksjonsmiljøet.
Mr. Zatko hevder at altfor mange ansatte, inkludert alle ingeniørene og omtrent halvparten av arbeidsstyrken, jobber direkte på plattformens live-produkt og får tilgang til faktiske brukerdata. Dette er uhørt i teknologiselskaper som Meta og Google hvor utviklere bruker dummy-data til å kode og test i spesialiserte sandkasser uten å påvirke hovedproduktene.
Den dårlig sporede tilgangen til kjerneselskapets programvare har ført til pinlige hacks i det siste, inkludert overvåking av høyprofilerte brukerkontoer som Bill Gates, Elon Musk og Joe Biden.
3. Villedende spam og bottelling
Twitter-varslerens avsløring anklager selskapet for å villede investorene og publikum over mengden spam og roboter på plattformen.
Tidligere hadde Twitter hevdet at bare fem prosent av kontoene på plattformen er roboter, men Zatko sier at det reelle tallet er langt høyere. Han hevder at selskapet prioriterer brukervekst fremfor å redusere spam og at ledere tjener bonuser verdt millioner for å øke daglig brukeraktivitet.
Denne anklagen gir nok ammunisjon til Elon Musk i sin juridiske kamp for å trekke seg ut av en avtale på 44 milliarder dollar å kjøpe selskapet.
4. Internasjonale trusler
Pieter Zatko hevder at utenlandske myndigheter som får tilgang til plattformen eller finner innflytelse mot den kan gjøre enorm skade på USAs nasjonale sikkerhet og interesser. Trusselen er ikke teoretisk når du vurderer tidligere hendelser og svak cybersikkerhetsholdning til selskapet.
Rapporten hevder at kort tid før Zatko fikk sparken, tipset amerikanske myndigheter Twitter om at minst en av de ansatte var en agent for et utenlandsk etterretningsbyrå. Zatko mener også at selskapet ansatte to personer som var agenter for den indiske regjeringen.
På samme måte hevder Zatko at før Russlands invasjon av Ukraina, Parag Agrawal, som var Twitters CTO ved gang, foreslått å gjøre innrømmelser til Russland for å vokse i landet på bekostning av sensur eller overvåkning.
Dette er ikke første gang Twitter har blitt anklaget for å hjelpe land med å sensurere eller overvåke plattformen for økonomiske fordeler. Bare to uker før Zatkos avsløring, dømte en jury en tidligere Twitter-sjef for å ha spionert for Saudi-Arabia.
Hva sier Twitter om påstandene?
Zatkos rapport inneholder dusinvis av alvorlige anklager mot Twitters forseelser, inkludert sikkerhetssårbarheter, dårlig tilgangskontroll, villedende måling av spam og bot-kontoer, og mer.
Men selskapets visepresident for kommunikasjon, Rebecca Hahn, fortalte Washington Post at Zatkos avsløring mangler «viktig kontekst». Hahn mener at "påstandene og den opportunistiske timingen ser ut til å fange oppmerksomhet og påføre skade på Twitter" og at "sikkerhet og personvern lenge har vært bedriftsomfattende prioriteringer".
Agrawal benektet også anklagene mot Twitter og kalte det "en falsk fortelling som er full av inkonsekvenser og unøyaktigheter." I et notat til ansatte understreket han at selskapet vil følge alle veier for å forsvare sin integritet og sette rekorden rett.
Hva kan vi lære av Twitter-varsleren?
Viktigere, vi må alle være klar over at vi ikke kan stole utelukkende på andre parter for å holde oss sikre på nettet. Twitter kan eller kan ikke la brukerne være åpne for hackere, men til syvende og sist må vi alle ta personlig ansvar med hvilke data vi overlater til selskapet – og faktisk enhver organisasjon som ber om mer personlig informasjon enn det er nødvendig.
