Şirketin eski güvenlik şefi efsanevi hacker’dan siber güvenlik uzmanı Peiter’in ifadesine göre Twitter, ihmalkar güvenlik uygulamalarını gizledi, federal düzenleyicileri güvenliği konusunda yanılttı ve platformundaki botların sayısını doğru bir şekilde tahmin edemedi. “Zatko. Patlayıcı iddiaların, federal para cezaları ve Elon Musk’ın Twitter’ı satın alma teklifinin çözülmesi de dahil olmak üzere büyük potansiyel sonuçları var.
Zatko (önceki değeri) Twitter tarafından kovuldu ve bunun şirketin güvenlik açıkları hakkında sessiz kalmayı reddetmesine misilleme olduğunu iddia ediyor. Geçen ay Menkul Kıymetler ve Borsa Komisyonu’na (SEC) Twitter’ı hissedarları aldatmakla ve belirli güvenlik standartlarını korumak için Federal Ticaret Komisyonu (FTC) ile yaptığı anlaşmayı ihlal etmekle suçlayan bir şikayette bulundu. Toplam 200 sayfadan fazla olan şikayetleri, CNN ve Washington post ve bu sabah düzeltilmiş biçimde yayınlandı.
ile bir röportajda CNN, Zatko, şirketin Barack Obama, Bill Gates ve Kanye West gibi isimlere ait hesapların ele geçirildiği büyük bir hack saldırısından hemen sonra, zamanın CEO’su Jack Dorsey’in vasiyeti üzerine 2020’de Twitter’a katıldığını söyledi. Zatko, platformun dünya için “kritik bir kaynak” olduğuna inandığı için Twitter’a katıldığını, ancak CEO Parag Agrawal’ın şirketin birçok güvenlik açığını ele almayı reddetmesiyle hayal kırıklığına uğradığını söyledi.
Zatko, “Bu asla ilk adımım olmayacak, ancak Jack’e ve platform kullanıcılarına karşı yükümlülüğümü hala yerine getirdiğime inanıyorum” dedi. Washington post muhbir olma kararıyla ilgili. “Jack’in beni getirdiği işi bitirmek istiyorum, bu da mekanı iyileştirmek.”
Zatko’nun SEC’e yaptığı ifşaatlar çok sayıda can sıkıcı rapor ve suçlama içeriyor, ancak bunlar en önemlilerinden bazıları:
- gelişigüzel erişim. Zatko, şikayetinde Twitter’ın güvenlik açığının önemli bir bölümünün çok sayıda çalışanın kritik sistemlere erişimi olduğunu iddia ediyor. Twitter’ın yaklaşık 7.000 tam zamanlı çalışanının yaklaşık yarısının, kullanıcıların hassas kişisel verilerine (telefon numaraları gibi) ve dahili yazılıma (hizmetin nasıl çalıştığını değiştirmek için) erişimi olduğunu ve bu erişimin yakından izlenmediğini belirtiyor. Ayrıca binlerce dizüstü bilgisayarın Twitter’ın kaynak kodunun tam kopyalarını içerdiğini iddia ediyor.
- FTC’yi yanıltmak. 2010 yılında Twitter’da sabit ücretler FTC ile tüketicilerin kişisel bilgilerini koruyamadığını – Büyük Teknoloji’yi dizginleyen hükümet düzenleyicilerinin önemli ve erken bir örneği. Zatko’nun şikayeti, Twitter’ın kullanıcılara ve FTC’ye defalarca bu anlaşmayı ihlal ederek “yanlış ve yanıltıcı açıklamalar” yaptığını iddia ediyor.
- Botları yoksayma. Twitter, sürekli olarak aylık aktif kullanıcılarının yüzde 5’inden daha azının botlar, sahte hesaplar veya spam olduğunu iddia etti. Zatko’nun şikayeti, Twitter’ın bu rakamı ölçme yönteminin yanıltıcı olduğunu ve yöneticilerin spam botlarını kaldırmak yerine kullanıcı sayılarını artırmaya (10 milyon dolara kadar ikramiyelerle) teşvik edildiğini söylüyor.
- Devlet ajanları. Twitter, haberleri paylaşmak ve protestoları organize etmek için önemli bir araçtır ve bu da onu muhalefeti kırmak isteyen hükümetler için uygun bir hedef haline getirir. Zatko’nun şikayeti, Hindistan hükümetinin Twitter’ı daha sonra ayrıcalıklı kullanıcı verilerine erişimi olan bir devlet temsilcisi tutmaya zorladığına inandığını belirtiyor.
- Silinemedi. Şikayet, Twitter’ın geçmişte istendiğinde kullanıcı verilerini silmediğini, çünkü bu tür kayıtların dahili sistemler arasında düzgün bir şekilde izlenemeyecek kadar geniş bir alana yayıldığını belirtiyor. Mevcut bir çalışan söyledi Washington post şirketin, kullanıcı verilerinin uygun şekilde silinmesini sağlamak için Proje Silgisi olarak bilinen bir projeyi henüz tamamladığını söyledi.
Zatko’nun şikayetine yanıt olarak Twitter, eski güvenlik şefini bilgileri sansasyonel hale getirmek ve seçici bir şekilde sunmakla suçladı. Bir sözcü söyledi CNN:
“Bay. Zatko, altı ay önce düşük performans ve etkisiz liderlik nedeniyle Twitter’daki üst düzey yönetici rolünden kovuldu. Başvurulan belirli iddialara erişimimiz olmasa da, şimdiye kadar gördüğümüz, gizlilik ve veri güvenliği uygulamalarımız hakkında tutarsızlıklar ve yanlışlıklarla dolu ve önemli bağlamdan yoksun bir anlatı. Bay Zatko’nun iddiaları ve fırsatçı zamanlaması, Twitter’a, müşterilerine ve hissedarlarına dikkat çekmek ve zarar vermek için tasarlanmış görünüyor. Güvenlik ve gizlilik, Twitter’da uzun süredir şirket genelindeki öncelikler olmuştur ve önümüzde hala çok iş var.”
Zatko’nun iddiaları patlayıcıdır ve şirket üzerinde önemli bir etkisi olacaktır. FTC şu anda şikayeti inceliyor. Washington postve Zatko’nun suçlamalarının doğru olduğu kanıtlanırsa büyük olasılıkla Twitter’a önemli para cezaları uygulayacaktır.
Şikayet, Tesla CEO’su Elon Musk ile Twitter arasında devam eden mücadeleyi de etkileyecek. Musk şu anda şirketi satın almak için 44 milyar dolarlık bir anlaşmadan kendisini kurtarmaya çalışıyor ve kararı Twitter’ın platformdaki gerçek bot ve spam hesap sayısı hakkında yalan söylediği suçlamasıyla haklı çıkarıyor. Zatko’nun şikayeti, Musk’ın daha önce asılsız olarak eleştirilen argümanlarını önemli ölçüde güçlendiriyor.