Twitter-Whistleblower Peiter „Mudge“ Zatko ist glaubwürdig, fähig, „brutal ehrlich“, sagen Kollegen

Peiter „Mudge“ Zatko, der ehemalige Twitter-Sicherheitschef, der behauptete, das Unternehmen habe fahrlässige Sicherheitspraktiken vertuscht und die Aufsichtsbehörden über die Datenverarbeitung belogen, war laut seinen Kollegen und Kollegen ein glaubwürdiger, fähiger und brutal ehrlicher Sicherheitsexperte.

Bewertung von Zatkos Arbeit und Charakter – gezogen aus öffentlichen Unterstützungsbotschaften und Erinnerungen, die direkt mit ihm geteilt wurden Die Kante – widerspricht Aussagen des derzeitigen Twitter-CEO Parag Agrawal, der behauptete, Zatko habe eine falsche Darstellung des Innenlebens des Unternehmens präsentiert, nachdem er im Januar wegen schlechter Leistung entlassen worden war.

In einer Whistleblower-Offenlegung, die bei der SEC eingereicht und zuerst von CNN und Das Washington Post, beschuldigte Zatko Twitter zahlreicher schwerwiegender Sicherheitsmängel und behauptete, dass das Managementteam staatliche Aufsichtsbehörden und seinen eigenen Vorstand häufig über das Ausmaß der Schwachstellen der Plattform in die Irre geführt habe. Die Einreichung behauptet auch, dass das Unternehmen gegen eine Vertraulichkeitsvereinbarung mit der FTC verstoßen habe, die es verpflichtet habe, die Daten aller Benutzer zu löschen, die sich entschieden haben, ihre Twitter-Konten zu kündigen, und dass das Unternehmen absichtlich Daten über die Anzahl der Roboterkonten auf der Plattform manipuliert habe.

In einer Antwort an CNN – deren Sprache in einer E-Mail wiedergegeben wurde, die Agrawal an Twitter-Mitarbeiter schickte – sagte ein Twitter-Sprecher, Zatkos Anschuldigungen seien „gespickt mit Ungereimtheiten und Ungenauigkeiten“ und schienen „dazu bestimmt, Aufmerksamkeit auf Twitter zu lenken und Twitter Schaden zuzufügen , seine Kunden und seine Aktionäre.“

Aber die heftige Gegenreaktion von Twitter gegen Zatkos Kritik hat eine Gegenreaktion von vielen prominenten Stimmen auf diesem Gebiet ausgelöst, die sich für die Referenzen und den Hintergrund des Sicherheitsexperten ausgesprochen haben. Alec Muffett, ein Internet-Sicherheitsexperte und Software-Ingenieur, der an Twitters Bemühungen arbeitete, einen Tor-Dienst zu starten, sagte Die Kante dass er Zatko seit Jahrzehnten kenne und den Behauptungen in der SEC-Offenlegung vertraut habe.

„Ich kenne Mudge seit Mitte der 1990er Jahre, als er – und die anderen Mitglieder des L0pht – tüchtige Hacker waren“, sagte Muffett. „Er hat eine enorme Kreativität und ein Bestreben gezeigt, die Internetsicherheit insgesamt zu verbessern … Ich zögere nicht, seine Beobachtungen als äußerst glaubwürdig und besorgniserregend zu untermauern.“

Zatko wurde zum ersten Mal als Teil von L0pht bekannt, einem in Boston ansässigen Hackerkollektiv, das in den 1990er Jahren als einflussreiche Forschungsgruppe für Computersicherheit bekannt war.Bemerkenswerterweise beriet die Gruppe, während die L0pht Software veröffentlichte, auch zu Richtlinien und sagte sogar vor dem Senat aus Internetsicherheit im Jahr 1998. In seinen frühen Tagen des Hackens war Zatko auch Mitglied der berüchtigten Hackergruppe Cult of the Dead Cow, der auch der frühere Präsidentschaftskandidat (und derzeitige texanische Gouverneurskandidat) Beto O’Rourke als Mitglied angehörte.

Als sein Profil wuchs, übernahm Zatko Rollen bei der Defense Advanced Research Projects Agency (DARPA) und der Forschungsgruppe Advanced Technologies and Projects von Google. Er wurde von Twitter im Jahr 2020 innerhalb weniger Monate nach einem großen Sicherheitsvorfall eingestellt, bei dem Hacker einige der meistbesuchten Promi-Konten der Plattform übernahmen. Aber er blieb nur etwas mehr als ein Jahr und wurde im Januar 2022 vom neuen CEO Agrawal gefeuert.

Eine von Zatkos konkreten Behauptungen – dass zu viele Mitarbeiter Zugang zu kritischer Software innerhalb des Unternehmens haben – scheint durch Details gestützt zu werden, die von Al Sutton, einem ehemaligen Twitter-Softwareentwickler, geteilt wurden. In einem Tweet sagte Sutton, er sei immer noch in der Lage, Code an die Mitarbeitergruppe der Open-Source-Software-Repositories von Twitter auf der Code-Hosting-Website GitHub zu übertragen, obwohl er das Unternehmen vor 18 Monaten verlassen habe.

Der Tweet, der von Twitter auf GitHub mit der Seite der Organisation verlinkt war, zeigte, dass Suttons Konto immer noch als eines von nur 34 beitragenden Mitgliedern aufgeführt war. Kurz danach Die Kante kontaktierte Twitter für einen Kommentar, Suttons Konto wurde als Mitwirkender entfernt.

Kontaktiert von Die KanteSutton lehnte es ab, die Sicherheitslage von Twitter weiter zu kommentieren, sagte aber über Zatko: „Ich hatte sehr wenig Überschneidungen mit Mudge, aber von dem, was ich habe, und von anderen Leuten, die ich kenne, die ihn gut genug kennen, ist er brutal ehrlich und ich habe keinen Grund, an seinen Behauptungen zu zweifeln.

Bereits sind führende Persönlichkeiten im Sicherheitsbereich zu Zatkos öffentlicher Verteidigung geeilt. Industrial Security-Spezialist Robert M. Lee warf Twitter eine Schmutzkampagne vor, und sagte, dass Mudges Fähigkeiten und Führungsqualitäten „zu den am meisten geschätzten und am besten dokumentierten in der Gemeinschaft“ gehörten. Der prominente Cybersicherheitsjournalist Kim Zetter schloss sich diesem Gefühl an, Sprichwort es gab „wahrscheinlich keinen Sicherheitsbeamten mit mehr Ethik, mehr Glaubwürdigkeit als Mudge“.

Die Kante kontaktierte Mudge für einen Kommentar, erhielt aber keine Antwort. In einer Erklärung von Whistleblower Aid, einer gemeinnützigen Organisation, die Whistleblower unterstützt und Zatko vertritt, heißt es: „Gesetzliche Verpflichtungen hindern Mudge und Whistleblower Aid daran, Ereignisse während Mudges Zeit auf Twitter zu diskutieren, außer durch rechtmäßige und ordnungsgemäß autorisierte Offenlegungen, einschließlich Vorladungen zur Zeugenaussage die er natürlich ehren würde.

Twitter hat sich zum Zeitpunkt der Veröffentlichung nicht geäußert.