Eski Twitter güvenlik şefi Peiter Zatko, namı diğer “Mudge” Senato paneli önünde ifade verdi (video) Salı günü sosyal medya şirketinde yaygın güvenlik eksiklikleri iddiası. İfadesi, geçen ay Kongre’ye sunulan 200’den fazla sayfa ihbarcı şikayetinde genişledi.
Kasım 2020’den Ocak 2022’de görevden alınana kadar Twitter’ın güvenlik sorumlusu olan Zatko, kullanıcı gizliliği, dijital ve fiziksel güvenlik ve platform bütünlüğü/içerik denetimi alanlarında “aşırı, korkunç eksiklikler” olduğunu iddia etti.
“Twitter’a katıldığımda keşfettiğim şey, bu son derece etkili şirketin endüstri güvenlik standartlarının on yıldan fazla gerisinde olduğuydu” dedi. tanıklık.
Kullanıcı Verilerini Korumak İçin Çerçeve Yok
Bir sosyal medya platformu olarak Twitter, kullanıcının telefon numarası, kullanıcının Twitter’a bağlanmak için kullandığı mevcut ve geçmiş IP adresleri, mevcut ve geçmiş e-posta adresleri, kişinin IP’ye dayalı yaklaşık konumu gibi devasa bir kullanıcı bilgisi hazinesi üzerinde oturuyor. adresleri, kullanıcının dili ve kişinin cihazı veya kullandığı tarayıcı hakkındaki bilgiler.
Bu bilgilerin korunması çok önemlidir. Bu bilgiler, yanlış ellerde, bireysel kullanıcıları kandırmak ve onları fiziksel zarara açmak için kullanılabilir. İletişimler, kullanıcıların yayınlanmasını istemeyebilecekleri bilgileri açığa çıkarabilir.
Zatko, ifadesinde Kongre milletvekillerine verdiği demeçte, Twitter “neye sahip olduklarını, nerede yaşadığını veya nereden geldiğini bilmiyor” dedi. “Ve bu yüzden, şaşırtıcı olmayan bir şekilde, onu koruyamazlar.”
Erişim Günlüğü Yok
Veri korumanın temel ilkelerinden biri, erişim kontrollerine sahip olmaktır, böylece herhangi birinin olmaması gereken bilgilere erişip erişmediğini izlemenin bir yolu vardır. Twitter’ın bu tür bir günlük kaydı olmadığını söyleyen Zatko, Twitter’ın herhangi birinin verilerle ne yaptığı konusunda hiçbir görünürlüğü olmadığını iddia etti.
Zatko, çalışanların “çok fazla veriye çok fazla erişimi olduğunu” söyledi. Bilgiler, Twitter personelinin yaklaşık yarısına veya yaklaşık 4.000 çalışana açık ve mühendislere varsayılan olarak verilere erişim izni verildiğini söyledi.
Kontrollerin olmaması, hesap devralmalarını önemsiz hale getirdi. Zatko, “Şirket içindeki bir çalışanın bu odadaki tüm senatörlerin hesaplarını ele geçirebileceğini söylemek zor değil,” dedi. “Kapılarda kilit yoksa anahtar kimde olursa olsun önemli değil.”
Bu senaryo o kadar da uzak değil. Zatko, bir grup gencin dahili bir araca erişim kazandığı ve ardından kripto para dolandırıcılığının bir parçası olarak yüksek profilli Twitter kullanıcılarının hesaplarını ele geçirdiği 2020 olayından kısa bir süre sonra Twitter’a geldi.
Vectra’da SaaS Protect CTO’su Aaron Turner, daha önce, “2020 olayından sonra koordine ettiğim araştırmalardan, Twitter’ın sistemlerinin geliştiricileri ve yöneticileri için uygun ayrıcalıklı kullanıcı yönetimi kontrollerine veya görev ayrımı politikalarına sahip olmadığı açıktı.” Karanlık Okuma.
Kırmızı Bayraklar Gözardı Edildi
Zatko, Twitter mühendisleri için girişleri izleyen bir sistemin her hafta “binlerce” başarısız giriş denemesi kaydettiğini söyledi. Şirketin her gün 3.000’e kadar başarısız girişim görmesine rağmen, girişimlerin nereden geldiğini veya hangi sistemlerin hedef alındığını görmek için araştırmaya öncelik vermedi.
Araştırmamak, kaçırılmış bir fırsattı. Başarısız girişimlerin neyi hedeflediğini anlamaya çalışmak, potansiyel olarak savunmasız sistemleri ve ek koruma katmanlarına ihtiyaç duyup duymadıklarını belirlemeye yardımcı olabilirdi.
Zatko, Twitter’ın “altyapılarının çok gerisinde” olduğunu ve mühendislere platformu modernize etme fırsatı verilmediğini söyledi.
Twitter iddiaları geri püskürttü. Bir sözcü, “Bugünkü duruşma, yalnızca Bay Zatko’nun iddialarının tutarsızlıklar ve yanlışlıklarla dolu olduğunu doğruluyor.” dedi.