Twitter verbarg fahrlässige Sicherheitspraktiken, täuschte die Bundesbehörden über seine Sicherheit und konnte die Anzahl der Bots auf seiner Plattform nicht richtig einschätzen, so die Aussage des ehemaligen Chief Security Officer des Unternehmens, des legendären Hackers, der zum Cybersicherheitsexperten Peiter „Mudge“ wurde. „Zatko. Die explosiven Anschuldigungen haben enorme potenzielle Konsequenzen, darunter Bußgelder und das Scheitern von Elon Musks Twitter-Angebot.
Zatko wurde im Januar von Twitter gefeuert und sagt, es sei eine Vergeltung für seine Weigerung gewesen, über die Schwachstellen des Unternehmens zu schweigen. Letzten Monat reichte er eine Klage bei der Securities and Exchange Commission (SEC) ein, die Twitter beschuldigt, Aktionäre irregeführt und gegen eine Vereinbarung mit der Federal Trade Commission (FTC) zur Durchsetzung bestimmter Sicherheitsstandards verstoßen zu haben. Seine Beschwerden, insgesamt mehr als 200 Seiten, wurden von erhalten CNN und Die Washington Post und heute Morgen in redigierter Form veröffentlicht.
Im Gespräch mit CNN, sagte Zatko, er sei 2020 auf Wunsch des damaligen CEO Jack Dorsey zu Twitter gekommen, kurz nachdem das Unternehmen von einem massiven Hack getroffen wurde, bei dem Konten von Leuten wie Barack Obama, Bill Gates und Kanye West kompromittiert wurden. Zatko sagt, er sei Twitter beigetreten, weil er glaubt, dass die Plattform eine „wesentliche Ressource“ für die Welt ist, war aber enttäuscht von der Weigerung von CEO Parag Agrawal, die vielen Mängel in der Unternehmenssicherheit von Twitter zu beheben.
„Es wäre nie mein erster Schritt, aber ich glaube, ich erfülle immer noch meine Verpflichtung gegenüber Jack und den Nutzern der Plattform“, sagte Zatko. Die Washington Post über seine Entscheidung, Whistleblower zu werden. „Ich möchte den Job zu Ende bringen, für den Jack mich hergebracht hat, nämlich den Ort zu verbessern.“
Zatkos SEC-Offenlegungen enthalten viele vernichtende Berichte und Anschuldigungen, aber diese gehören zu den wichtigsten:
- Wahlloser Zugriff. Ein wesentlicher Teil der Schwachstelle von Twitter besteht darin, dass zu viele Mitarbeiter Zugriff auf kritische Systeme haben, behauptet Zatko in seiner Beschwerde. Darin heißt es, dass etwa die Hälfte der rund 7.000 Vollzeitbeschäftigten von Twitter Zugriff auf die sensiblen personenbezogenen Daten der Benutzer (wie Telefonnummern) und interne Software (um die Funktionsweise des Dienstes zu ändern) hat und dass dieser Zugriff nicht genau überwacht wird. Es wird auch behauptet, dass Tausende von Laptops vollständige Kopien des Twitter-Quellcodes enthalten.
- Täusche die FTC. Im Jahr 2010 hat Twitter Anklagen mit der FTC wegen Versäumnisses, die persönlichen Daten der Verbraucher zu schützen, beigelegt – ein bedeutendes und frühes Beispiel dafür, dass staatliche Regulierungsbehörden Big Tech zurückhalten. In Zatkos Beschwerde wird behauptet, dass Twitter gegenüber Nutzern und der FTC wiederholt „falsche und irreführende Aussagen“ gemacht und damit gegen diese Vereinbarung verstoßen habe.
- Bots ignorieren. Twitter hat wiederholt behauptet, dass weniger als 5 % seiner monatlich aktiven Benutzer täglich Bots, gefälschte Konten oder Spam sind. In der Beschwerde von Zatko heißt es, dass die von Twitter verwendete Methode zur Messung dieser Zahl irreführend ist und dass Führungskräfte (mit Boni von bis zu 10 Millionen US-Dollar) einen Anreiz erhalten, die Benutzerzahlen zu erhöhen, anstatt Spambots zu entfernen.
- Regierungsbeamte. Twitter ist ein wichtiges Instrument für den Austausch von Informationen und die Organisation von Protesten, was es zu einem idealen Ziel für Regierungen macht, die versuchen, abweichende Meinungen zu unterdrücken. Zatkos Beschwerde besagt, dass er glaubt, dass die indische Regierung Twitter gezwungen hat, einen Regierungsagenten einzustellen, der dann Zugang zu privilegierten Benutzerdaten erhielt.
- Löschen fehlgeschlagen. Die Beschwerde besagt, dass Twitter es in der Vergangenheit versäumt hat, Benutzerdaten auf Anfrage zu löschen, da solche Aufzeichnungen in internen Systemen zu weit verbreitet sind, um ordnungsgemäß nachverfolgt zu werden. Ein aktueller Mitarbeiter sagte Die Washington Post dass das Unternehmen gerade ein Projekt namens Project Eraser abgeschlossen hat, um die korrekte Löschung von Benutzerdaten sicherzustellen.
Als Reaktion auf Zatkos Beschwerde warf Twitter seinem ehemaligen Sicherheitschef vor, Informationen zu sensationslüstern und selektiv zu präsentieren. sagte ein Sprecher CNN:
„Herr Zatko wurde vor mehr als sechs Monaten wegen schlechter Leistung und ineffektiver Führung von seiner leitenden Position bei Twitter entlassen. Obwohl wir keinen Zugang zu den spezifischen Anschuldigungen hatten, auf die verwiesen wird, ist das, was wir bisher gesehen haben, eine Erzählung über unsere Privatsphäre und Datensicherheitspraktiken, die voller Ungereimtheiten und Ungenauigkeiten sind und denen wichtiger Kontext fehlt.Die Anschuldigungen von Herrn Zatko und sein opportunistisches Timing scheinen darauf ausgelegt zu sein, Aufmerksamkeit zu erregen und Twitter, seinen Kunden und seinen Aktionären zu schaden Sicherheit und Datenschutz sind seit langem unternehmensweite Prioritäten bei Twitter , und wir haben noch viel Arbeit vor uns.
Zatkos Vorwürfe sind brisant und werden erhebliche Auswirkungen auf das Unternehmen haben. Laut Quellen, die von zitiert wurden, untersucht die FTC derzeit die Beschwerde Die Washington Postund würde Twitter wahrscheinlich erhebliche Bußgelder auferlegen, wenn sich Zatkos Anschuldigungen als wahr erweisen sollten.
Die Beschwerde wird auch den andauernden Streit zwischen Tesla-CEO Elon Musk und Twitter betreffen. Musk versucht derzeit, sich aus einem 44-Milliarden-Dollar-Deal zum Kauf des Unternehmens zu befreien, und begründet dies mit dem Vorwurf, Twitter lüge über die tatsächliche Anzahl von Bot- und Spam-Konten auf der Plattform. Zatkos Beschwerde untermauert Musks Argumente, die zuvor als unbegründet kritisiert wurden, erheblich.
Previously published on www.theverge.com
