Eski Twitter güvenlik şefi, kullanıcı gizliliğinin korunması ve içerik denetimi için fiziksel ve dijital güvenlik sistemlerinde olduğu iddia edilen arızalar konusunda uyardı.
Peiter “Mudge” Zatko, Kasım 2020’de şirketin kurucu ortağı Jack Dorsey tarafından Twitter’ın baş güvenlik görevlisi olarak işe alındı, ancak rolü üstlenen mevcut CEO Parag Agrawal tarafından Ocak 2022’de görevden alındı. Kasım 2021’de Jack Dorsey’in ayrılmasının ardından rolü .
Peiter Zatko dava açtı 86 sayfalık rapor Temmuz ayında Menkul Kıymetler ve Borsa Komisyonu ile. Rapor, Twitter’ın güvenliğinin 2021’de, Federal Ticaret Komisyonu ve Twitter’ın güvenlik açıklarına karar vermesinden yaklaşık 10 yıl sonra korkunç bir durumda olduğunu gösteriyor.
Güvenlik açıkları hakkında haro
Rapor, özellikle, 2021’de Twitter’ın 500.000 veri merkezi sunucusunun yarısından fazlasının uyumlu olmayan çekirdekler veya işletim sistemleri kullandığını ve birçoğunun şifrelemeyi destekleyemediğini gösteriyor.
Raporda ayrıca çalışan bilgisayarlarının %30’undan fazlasında yazılım ve güvenlik güncellemelerinin devre dışı bırakıldığı, çalışan telefonları için mobil cihaz yönetim sisteminin bulunmadığı ve personelin içeriden gelen tehditler riskinden kaçınmak için “neredeyse korumasız” olmadığı belirtiliyor. Buna rağmen tanık, Twitter’ın 10.000 çalışanının yaklaşık yarısının canlı prodüksiyon sistemlerine ve hassas kullanıcı verilerine erişimi olduğunu iddia ediyor.
Peiter Zatko’nun bir başka suçlaması da Twitter’ın veri merkezi yetenekleriyle ilgili: Eski CSO’ya göre Twitter, 2021 baharında “Twitter’ı haftalarca, aylarca veya kalıcı olarak çevrimdışına almanın eşiğinde” olan basamaklı bir veri merkezi hatasıyla karşı karşıya kaldı. Peiter Zatko, kurulu birkaç ay önce uyardığını ve Parag Argawal’ın kendisini yanlış yönlendirdiğini iddia ediyor.
Kalıcı başarısızlıklar ve yalanlar
Peiter Zatko, Twitter’ın yeni kod için geliştirme ve test ortamlarından da yoksun olduğunu söylüyor, bu da mühendislerin “canlı üretim verilerini kullandığı ve doğrudan satış departmanında test ettiği ve bu nedenle düzenli kesinti sürelerine yol açtığı” anlamına geliyor. ABD Başkenti’ne saldırının yapıldığı 6 Ocak 2021’de Peiter Zatko, tüm mühendislerin Twitter’ın üretim ortamına erişimi olduğunu, ancak sisteme erişimi kaydedecek bir günlük bulunmadığını iddia ediyor.
Peiter Zatko, Twitter’ı platformun güvenliği, gizliliği ve bütünlüğü hakkında kullanıcılara yanlış ve yanıltıcı açıklamalar yapmakla suçluyor. Aralık 2021’de Parag Argawal’ın kendisine Twitter’ın yönetim kuruluna “hayati bilgi güvenliği bilgileri” ile ilgili yanıltıcı belgeler sağlamasını emrettiğini iddia ediyor. Peiter Zatko ayrıca Twitter’ın yabancı hükümetlerin Twitter platformunu, personelini ve operasyonlarını istismar etme, izleme ve sansürleme taleplerinde suç ortağı olduğunu iddia ediyor.
Bu arada Twitter, Peiter Zatko’nun raporunun tutarsızlıklar ve yanlışlıklarla dolu olduğunu ve “etkisiz liderlik ve düşük performans” nedeniyle kovulduğunu iddia ediyor (The Verge aracılığıyla).
Bot sorunu masaya geri döndü
Peiter Zatko, siber güvenlik endüstrisinde iyi bilinmektedir. Twitter’a katılmadan önce, Google, Stripe ve ABD Savunma Bakanlığı’nın askeri kullanım için yeni teknolojileri araştırmak ve geliştirmekten sorumlu bir ajansı olan DARPA’da üst düzey siber güvenlik pozisyonlarında bulundu.
Raporu, Elon Musk ve Twitter arasında devam eden yasal savaşı etkileyebilir. Elon Musk, Twitter’ın kabul ettiğinden daha büyük bir bot sorunu olduğunu iddia ettikten sonra 44 milyar dolarlık devralma teklifini iptal etti. Parag Argawal, Twitter hesaplarının %5’inden azının bot olduğunu iddia ediyor. Ancak Peiter Zatko, üst düzey Twitter yöneticilerinin, botları ve spam’leri ortadan kaldırmaya değil, Twitter’ın para kazanılabilir günlük aktif kullanıcılarındaki büyümeye dayalı olarak ikramiye kazandığını iddia ediyor.
Raporda, Parag Argawal, Twitter yöneticilerinin “platformdaki toplam spam mesaj sayısını doğru bir şekilde tespit etme veya bildirme” konusunda hiçbir teşviklerinin olmadığını çok iyi biliyor.
FTC 2011 yılında Twitter ile anlaşma imzaladı Twitter’ın kişisel bilgilerini korumayarak tüketicileri mahremiyet konusunda yanlış yönlendirdiği yönündeki suçlamaları çözmek. FTC’nin şikayetine göre, bilgisayar korsanları 2009’da Twitter platformunun kontrolünü iki kez ele geçirdi. Anlaşma, Twitter’ı siber saldırıları belirlemek, önlemek, tespit etmek ve bunlara yanıt vermek için kapsamlı bir bilgi güvenliği programı uygulamaya yönlendiriyor. Muvafakat kararının şartları Mart 2031’e kadar yürürlüktedir.
Ancak ihbarcı, FTC’nin onay emrinden bu yana Twitter’ın güvenlik konusunda çok az ilerleme kaydettiğini tespit etti. Peiter Zatko’nun Twitter’a atanmasından bir yıl önce şirket, çalışan şifrelerinden bazılarını arayıp sorarak elde eden gençler tarafından hacklendi. Bu, saldırganların Twitter’ın yönetici paneline erişmesine ve platformu neredeyse özgürce ele geçirmesine izin verdi.
Kaynak : ZDNet.com