Peiter „Mudge“ Zatkos Whistleblower-Offenlegung enthielt viele alarmierende Behauptungen auf Twitter – von verwirrenden Bot-Metriken bis hin zu Fehlverhalten von Führungskräften –, aber eine der alarmierendsten Behauptungen war, dass das Unternehmen aktiv von Agenten der indischen Regierung infiltriert wurde. Für eine Plattform, die sich immer als Zufluchtsort für Journalisten und Aktivisten präsentiert hat, ist dies eine beunruhigende Behauptung, mit der das Unternehmen in den Antworten der US-Medien nicht direkt konfrontiert wurde.
Aber die Anschuldigungen sind weniger abwegig, als sie scheinen – und Teil eines viel größeren Problems für internationale Technologieplattformen.
Zatkos Akte bei der SEC behauptet, dass er während seiner Amtszeit als Sicherheitschef von Twitter darüber informiert wurde, dass die indische Regierung Twitter gezwungen hatte, einen seiner Agenten einzustellen.
In einem Abschnitt des Berichts mit dem Titel „Foreign Intelligence Penetration and Threats to Democracy“ stellt die Einreichung fest:
Die indische Regierung zwang Twitter, bestimmte Personen einzustellen, die Regierungsbeamte waren, die (aufgrund der zentralen architektonischen Mängel von Twitter) Zugriff auf große Mengen von Twitters sensiblen Daten haben würden.
Die Beziehung von Twitter zur indischen Regierung war besonders angespannt und gipfelte 2021 in einer Razzia in den Büros des Unternehmens in Delhi als Reaktion auf einen mutmaßlichen Missbrauch des Labels „manipulierte Medien“ der Plattform. Die Twitter-Moderation im Land ist ein heikles Thema, da oft falsche Gerüchte verwendet wurden, um Mob-Gewalt gegen die muslimische Minderheit auszulösen. Für die meisten Befürworter der Rede sind diese Entscheidungen zu heikel, um einen derzeitigen rechtsgerichteten Regierungsangestellten einzubeziehen, den einige als implizite Befürworter der Gewalt ansehen.
Wie Zatko sagte, wurde das operative Versagen, das zur Einstellung eines Regierungsagenten führte, durch ein grundlegendes Sicherheitsproblem verstärkt. In der SEC-Anmeldung behauptete er, dass „die Hälfte der 10.000 Mitarbeiter von Twitter, Tendenz steigend“, Zugang zu Live-Produktionssystemen und sensiblen Benutzerdaten hatte. Es ist unklar, ob diese Liste den mutmaßlichen ausländischen Agenten enthielt, aber ein so weitreichendes Zugangsproblem erschwert jegliche Eindämmungsbemühungen erheblich.
Auch darüber, inwieweit Twitter dieses Zugeständnis freiwillig gemacht hat, ist derzeit noch unklar. Die Plattform hat in Indien gekämpft und ergreift derzeit rechtliche Schritte gegen die indische Regierung, weil sie die Sperrung bestimmter Inhalte angeordnet hat, die die Modi-Administration kritisieren. Der Konkurrent Facebook ist ebenfalls auf Probleme gestoßen, jedoch in anderer Größenordnung: 2020 trat sein indischer Politikchef zurück, nachdem er heftig kritisiert worden war, weil er es versäumt hatte, gegen antimuslimische Hassreden auf der Plattform vorzugehen.
Die indische Presse – die sich bewusst ist, dass die Überwachung und Einschüchterung von Journalisten im Land stetig zugenommen hat – nahm die Vorwürfe ernst, obwohl Journalisten im Land anscheinend Schwierigkeiten hatten, zusätzliche Informationen von ihnen zu erhalten.
„Die Enthüllung eines Whistleblowers, dass die indische Regierung Twitter gezwungen hat, ihren Agenten einzustellen, der dann Zugang zu den Benutzerdaten der Plattform erhielt, sollte jeden alarmieren, der sich auch nur im Entferntesten für die Gesundheit der Demokratie im Land interessiert“, heißt es in einem Leitartikel Der Hindu, eine der größten englischsprachigen Zeitungen des Landes. „Zumindest erfordert dies eine offizielle Antwort der Regierung sowie von Twitter.“
Um Kommentare gebeten von Die KanteEin Twitter-Sprecher schickte eine Erklärung, die vom CEO veröffentlicht und zuvor der Presse zur Verfügung gestellt wurde, und bestritt Zatkos Behauptungen als „falsche Darstellung über Twitter und unsere Datenschutz- und Datensicherheitspraktiken, die voller Ungereimtheiten und Ungenauigkeiten und des Mangels an wichtigem Kontext ist“.
Aufgrund der nahezu globalen Reichweite von Twitter und der Fülle sensibler Daten, die es schützt, steht viel auf dem Spiel. Obwohl der Inhalt von Tweets standardmäßig öffentlich ist, fungieren Direktnachrichten als privater Feedback-Kanal zwischen Benutzern, den viele Mitarbeiter jedoch abfangen können. Nach einem Hack im Jahr 2020, bei dem eine Reihe von viel beachteten Konten von Prominenten kompromittiert wurden, stellte sich heraus, dass Auftragnehmer mit Zugriff auf die internen Tools von Twitter diese seit Jahren verwenden, um Prominente auszuspionieren, DMs zu beobachten, um private Gespräche zu lesen, und IP-Protokollierung verwenden, um ihre ungefähren Daten zu verfolgen Standorte. Unnötig zu sagen, dass dies eine Fähigkeit ist, über die viele repressive Regierungen gerne verfügen würden.
Es sind nicht nur ausländische Regierungen, die versuchen könnten, die Sicherheit von Twitter von innen heraus zu brechen. Ein weiterer Abschnitt von Zatkos Offenlegung beschreibt seinen Versuch, die Systeme von Twitter zu sperren, um sich gegen mögliche Insider-Bedrohungen nach dem Aufstand vom 6. Januar zu verteidigen – und die anschließende Entdeckung, dass es keine Möglichkeit gab, dies zu erreichen.
Tatsächlich wurde Twitter bereits auf sehr ähnliche Weise kompromittiert. Im Jahr 2019 wurde entdeckt, dass zwei ehemalige Twitter-Mitarbeiter in den Vereinigten Staaten unter der Leitung der saudischen Regierung auf die Informationen der Plattform über Kritiker Saudi-Arabiens zugegriffen haben. Nach ihrer Anzeige beschuldigte das Justizministerium sie, als nicht registrierte ausländische Agenten zu agieren.
Ein hartnäckiges Problem
Nationale Sicherheitsgruppen haben sich in den letzten Jahren besonders auf diese Art von Insider-Angriffen konzentriert. In einem Briefing aus dem Jahr 2021, das an amerikanische Unternehmen gesendet wurde, warnt das National Counterintelligence and Security Center, dass eine zunehmende Zahl staatlicher und nichtstaatlicher Akteure die Vereinigten Staaten ins Visier nimmt und versucht, Informationen zu erhalten, indem sie „eine Reihe illegaler Techniken einsetzen, einschließlich Insider-Bedrohungen, Cyber-Penetrationen, Supply-Chain-Angriffe und Blended Operations, die einige oder alle dieser Methoden kombinieren.
Für jedes Unternehmen von der Größe von Twitter stellt sich also nicht die Frage, ob es einer Insider-Bedrohung ausgesetzt ist, sondern Wenn. David Thiel, Chief Technology Officer beim Stanford Internet Observatory und ehemaliger Sicherheitsingenieur bei Facebook, sagte Die Kante dass die Best Practice für Technologieunternehmen darin besteht, davon auszugehen, dass Insider-Bedrohungen auftreten werden, und ihre Auswirkungen präventiv zu begrenzen. Die Personalüberprüfung sei ein wichtiger Schritt, sagte Thiel, aber da damit nicht alle möglichen Angreifer erfasst werden, seien strenge Zugangskontrollen und ausgeklügelte Überwachungssysteme von entscheidender Bedeutung.
„Das ist ein sensibler Bereich, weil man sich nicht in einer Situation wiederfinden möchte, in der man jeden, der in einem bestimmten Land für einen arbeitet, als potenziellen Spion betrachtet“, sagte Thiel. „Es muss also mit technischen Kontrollen getan werden, die weltweit gleichmäßig und fair angewendet werden.“
Es ist auch möglich, dass Twitter-Führungskräfte das Gefühl hatten, keine andere Wahl zu haben, als sich daran zu halten. Rose Jackson, Direktorin der Democracy & Tech Initiative im Digital Forensic Research Lab des Atlantic Council, sagt, die US-Regierung habe einen „völlig passiven Ansatz“ zur Führung globaler Technologieunternehmen mit Hauptsitz in den USA gewählt und sie beim Navigieren auf sich selbst gestellt heikle geopolitische Themen.
Aber das Ergebnis ist immer noch ein erschreckender Präzedenzfall für Plattformen und ihre Benutzer. Jackson sagt, eine hypothetische Situation, in der die Vereinigten Staaten Unternehmen zwingen, Geheimdienstmitarbeiter einzustellen, wäre immer noch „außer Reichweite“.
„Wenn die Vereinigten Staaten Twitter sagen würden, dass ein US-Geheimdienstmitarbeiter in ihren Stab versetzt werden sollte, wenn sie in den Vereinigten Staaten weiter operieren wollten, und Twitter sagte ‚okay‘, dann wäre das ein großer Skandal, der einer ernsthaften Untersuchung würdig wäre. “, sagte Jackson. Die Kante. „Die Auswirkungen auf die nationale Sicherheit, die Auswirkungen auf die Cybersicherheit – es ist eine bizarre Vorstellung, dass dies ein akzeptables Verhalten wäre.“
Previously published on www.theverge.com
