Kui endine Twitteri tegevjuht Jack Dorsey palkas 2020. aastal Twitteri turvaülemaks Peiter Zatko, arvas, et häkkerist küberturvalisuse spetsialist võiks aidata ettevõttel oma turvalisust parandada hoiak. Kuid kaks aastat hiljem ei saanud Peiter Twitterit aidata või ei tahtnud ettevõte tema abi. Ta vallandati ebatõhusa juhtimise ja halva soorituse pärast, kuid Zatko väidab vastupidist.
Ta esitas kaebuse väärtpaberi- ja börsikomisjonile (SEC), föderaalsele kaubanduskomisjonile (FTC) ja justiitsministeeriumile, süüdistades Twitterit tahtlikus teadmatuses ja suurtes turvavigades.
See on süüdistuste litaania, millest igaüks on hukatuslikum kui järgmine. Siin on rohkem paljastusi Zatko Twitteri vastu esitatud süüdistuslehest.
1. Ohtlikud turvaaukud
Zatko Twitteri vastu esitatud kõige tõsisemate süüdistuste hulgas on see, et ettevõte teeb oma 238 kaitsmiseks vähe miljonit igapäevast kasutajat (sealhulgas riigipead, valitsusasutused ja mõjukad avaliku elu tegelased) vastu häkkerid.
Ta väidab, et pooled Twitteri serveritest töötavad aegunud tarkvaraga ja peaaegu veerand töötajatest on keelanud oma süsteemides tarkvaravärskendused, mis võivad pakkuda olulisi turvapaiku.
Kui see on tõsi, võidakse Twitterit pidada rikkudes 2011. aasta leping FTC-gatarbijate turvalisuse kohta. Leping kohustab ettevõtet looma ja hooldama usaldusväärse infoturbe mudeli, mida sõltumatu audiitor kontrollib 10 aasta jooksul.
2. Probleemsed sisemised juurdepääsud
Üks tegur, mis muudab platvormi haavatavaks, on töötajate laialdane ja tarbetu juurdepääs tootmiskeskkonnale.
Hr Zatko väidab, et liiga paljud töötajad, sealhulgas kõik insenerid ja ligikaudu pool tööjõust, töötavad otse platvormi reaalajas tootega ja pääsevad juurde tegelikele kasutajaandmetele. See on ennekuulmatu sellistes tehnoloogiaettevõtetes nagu Meta ja Google, kus arendajad kasutavad näivaid andmeid kood ja testida spetsiaalsetes liivakastides põhitooteid mõjutamata.
Halvasti jälgitav juurdepääs ettevõtte põhitarkvarale on minevikus viinud piinlike häkkimiseni, sealhulgas kõrgetasemeliste kasutajakontode, nagu Bill Gates, Elon Musk ja Joe Biden, juhtimine.
3. Eksitav rämpspost ja robotite arv
Twitteri vilepuhuja avalikustamine süüdistab ettevõtet investorite ja avalikkuse eksitamises platvormil oleva rämpsposti ja robotite hulga osas.
Varem oli Twitter väitnud, et vaid viis protsenti platvormi kontodest on robotid, kuid Zatko sõnul on tegelik arv palju suurem. Ta väidab, et ettevõte eelistab kasutajate kasvu rämpsposti vähendamisele ja juhid teenivad igapäevase kasutajaaktiivsuse suurendamiseks miljonite väärtuses boonuseid.
See süüdistus annab selleks piisavalt laskemoona Elon Musk oma juriidilises võitluses 44 miljardi dollari suuruse tehingu taganemise nimel ettevõtte ostmiseks.
4. Rahvusvahelised ohud
Pieter Zatko väidab, et välisriikide valitsused, kes saavad platvormile ligipääsu või leiavad selle vastu hoobasid, võivad USA riiklikule julgeolekule ja huvidele tohutult kahju teha. Oht ei ole teoreetiline, kui arvestada varasemaid intsidente ja ettevõtte nõrka küberturvalisuse hoiakut.
Aruandes väidetakse, et vahetult enne Zatko vallandamist andis USA valitsus Twitterile vihje, et vähemalt üks tema töötajatest on välismaise luureagentuuri agent. Zatko usub ka, et ettevõte palkas kaks inimest, kes olid India valitsuse agendid.
Samamoodi väidab Zatko, et enne Venemaa sissetungi Ukrainasse oli Parag Agrawal, kes oli Twitteri tehnoloogiadirektor. ajal tegi ettepaneku teha Venemaale järeleandmisi, et riigis kasvada tsensuuri hinnaga või järelevalve.
See pole esimene kord, kui Twitterit süüdistatakse selles, et see aitab riikidel rahaliste hüvede platvormi tsenseerida või jälgida. Vaid kaks nädalat enne Zatko avalikustamist mõistis žürii endise Twitteri juhi Saudi Araabia kasuks spioneerimises süüdi.
Mida Twitter väidete kohta ütleb?
Zatko raport sisaldab kümneid tõsiseid süüdistusi Twitteri rikkumiste kohta, sealhulgas turvanõrkused, kehvad juurdepääsukontrollid, rämpsposti ja robotikontode eksitav mõõtmine ning rohkem.
Kuid ettevõtte kommunikatsiooni asepresident Rebecca Hahn ütles Washington Post et Zatko avalikustamisel puudub "oluline kontekst". Hahn usub, et "süüdistused ja oportunistlik ajastus näivad olevat mõeldud Twitteris tähelepanu püüdmiseks ja kahju tekitamiseks" ning et "turvalisus ja privaatsus on pikka aega olnud kogu ettevõtte prioriteedid".
Agrawal eitas ka Twitteri vastu esitatud süüdistusi ja nimetas seda "valeks narratiiviks, mis on täis ebakõlasid ja ebatäpsused." Töötajatele saadetud märgukirjas rõhutas ta, et ettevõte kavatseb kasutada kõiki võimalusi, et kaitsta oma ausust ja püstitada rekord sirge.
Mida saame Twitteri vilepuhujalt õppida?
Oluline on see, et me kõik peame teadma, et me ei saa loota ainult teistele osapooltele, et end võrgus turvaliselt hoida. Twitter võib jätta oma kasutajad häkkeritele avatuks või mitte, kuid lõppkokkuvõttes peame me igaüks võtma isikliku vastutuse milliseid andmeid me ettevõttele üle anname – ja tõepoolest, igale organisatsioonile, kes küsib rohkem isiklikku teavet kui on vajalik.
