Ko je nekdanji izvršni direktor Twitterja Jack Dorsey leta 2020 najel Peitra Zatka kot vodjo varnosti Twitterja, je menil, da bi lahko heker, ki je postal specialist za kibernetsko varnost, podjetju pomagal izboljšati varnost drža. Toda dve leti pozneje bodisi Peiter ni mogel pomagati Twitterju bodisi podjetje ni želelo njegove pomoči. Odpustili so ga zaradi neučinkovitega vodenja in slabega poslovanja, Zatko pa trdi drugače.
Vložil je pritožbo pri Komisiji za vrednostne papirje in borzo (SEC), Zvezni komisiji za trgovino (FTC) in Ministrstvu za pravosodje, pri čemer je Twitter obtožil namerne nevednosti in večjih varnostnih pomanjkljivosti.
To je litanija obtožb, vsaka bolj obsojajoča kot druga. Tu je več razkritij iz Zatkove obtožnice proti Twitterju.
1. Nevarne varnostne ranljivosti
Med najresnejšimi obtožbami, ki jih je Zatko izrekel proti Twitterju, je ta, da podjetje naredi malo za zaščito svojih 238 milijonov dnevnih uporabnikov (ki vključujejo voditelje držav, vladne agencije in vplivne javne osebnosti) proti hekerji.
Trdi, da polovica strežnikov Twitter uporablja zastarelo programsko opremo in da je skoraj četrtina zaposlenih v svojih sistemih onemogočila posodobitve programske opreme, ki bi lahko zagotovile bistvene varnostne popravke.
Če je res, lahko Twitter krši 2011 sporazum s FTCo varnosti potrošnikov. Sporazum je od podjetja zahteval, da ustvari in vzdržuje trden model informacijske varnosti, ki ga bo 10 let pregledoval neodvisni revizor.
2. Problematični notranji dostopi
Eden od dejavnikov, zaradi katerih je platforma ranljiva, je širok in nepotreben dostop, ki naj bi ga imeli zaposleni do proizvodnega okolja.
G. Zatko trdi, da veliko preveč zaposlenih, vključno z vsemi inženirji in približno polovico delovne sile, dela neposredno na delujočem izdelku platforme in dostopa do dejanskih uporabniških podatkov. To je nezaslišano v tehnoloških podjetjih, kot sta Meta in Google, kjer razvijalci uporabljajo navidezne podatke kodiranje in testiranje v specializiranih peskovnikih brez vpliva na glavne izdelke.
Slabo sledljiv dostop do osnovne programske opreme podjetja je v preteklosti privedel do neprijetnih vdorov, vključno s prevzemom visokoprofilnih uporabniških računov, kot so Bill Gates, Elon Musk in Joe Biden.
3. Zavajajoča neželena pošta in število botov
Razkritje žvižgača Twitterja družbo obtožuje zavajanja vlagateljev in javnosti glede količine neželene pošte in botov na platformi.
Prej je Twitter trdil, da je samo pet odstotkov računov na platformi botov, a Zatko pravi, da je resnično število veliko višje. Trdi, da podjetje daje prednost rasti uporabnikov pred zmanjševanjem neželene e-pošte in da vodilni delavci zaslužijo milijonske bonuse za povečanje dnevne dejavnosti uporabnikov.
Ta obtožba zagotavlja dovolj streliva za Elon Musk v pravni bitki za odstop od 44 milijard dolarjev vrednega posla za nakup podjetja.
4. Mednarodne grožnje
Pieter Zatko trdi, da lahko tuje vlade, ki pridobijo dostop do platforme ali najdejo vzvod proti njej, naredijo ogromno škodo nacionalni varnosti in interesom ZDA. Grožnja ni teoretična, če upoštevate pretekle incidente in šibko držo podjetja glede kibernetske varnosti.
Poročilo trdi, da je tik pred Zatkovo odpustitvijo ameriška vlada Twitterju sporočila, da je vsaj eden od njenih zaposlenih agent tuje obveščevalne agencije. Zatko še meni, da je podjetje zaposlilo dva človeka, ki sta bila agenta indijske vlade.
Podobno Zatko trdi, da je pred rusko invazijo na Ukrajino Parag Agrawal, ki je bil Twitterjev tehnični direktor pri času, predlagal popuščanje Rusiji, da bi v državi rasli za ceno cenzure oz nadzor.
To ni prvič, da je bil Twitter obtožen pomoči državam pri cenzuri ali nadzoru platforme zaradi denarnih koristi. Le dva tedna pred Zatkovim razkritjem je porota nekdanjega upravitelja Twitterja obsodila vohunjenja za Savdsko Arabijo.
Kaj Twitter pravi o obtožbah?
Zatkovo poročilo vsebuje na desetine resnih obtožb proti Twitterju, vključno z varnostne ranljivosti, slabe kontrole dostopa, zavajajoče merjenje neželene pošte in računov botov ter več.
Toda podpredsednica podjetja za komunikacije Rebecca Hahn je povedala The Washington Post da Zatkovo razkritje nima »pomembnega konteksta«. Hahn meni, da so "obtožbe in oportunistični čas videti namenjeni pritegovanju pozornosti in povzročanju škode Twitterju" in da sta "varnost in zasebnost že dolgo prednostni nalogi celotnega podjetja".
Agrawal je tudi zanikal obtožbe proti Twitterju in ga označil za "lažno pripoved, ki je prepredena z nedoslednostmi in netočnosti." V memorandumu zaposlenim je poudaril, da si bo podjetje prizadevalo za zaščito svoje integritete in postavilo rekord naravnost.
Kaj se lahko naučimo od Twitterjevega žvižgača?
Pomembno je, da se moramo vsi zavedati, da se ne moremo zanašati samo na druge strani, da bomo varni na spletu. Twitter lahko pusti svoje uporabnike odprte za hekerje ali pa tudi ne, toda navsezadnje mora vsak prevzeti osebno odgovornost za katere podatke predamo podjetju – in pravzaprav vsaki organizaciji, ki zahteva več osebnih podatkov, kot jih je potrebno.