Czy Twitter zagraża bezpieczeństwu swoich użytkowników?

Opublikowany: 2022-09-03

Były szef bezpieczeństwa Twittera, Peiter „Mudge” Zatko, w lipcu 2022 r. złożył skargę informatora do Komisji Papierów Wartościowych i Giełd, oskarżając platformę mikroblogową o poważne naruszenia bezpieczeństwa.

Oskarżenia spotęgowały trwający dramat potencjalnej sprzedaży Twittera Elonowi Muskowi.

Zatko spędził dekady jako etyczny haker, prywatny badacz, doradca rządowy i dyrektor w niektórych z najbardziej znanych firm internetowych i urzędów rządowych.

Jest praktycznie legendą w branży cyberbezpieczeństwa. Ze względu na jego reputację, kiedy przemawia, ludzie i rządy zwykle słuchają – co podkreśla powagę jego skargi na Twittera.

CZYTAJ WIĘCEJ: Pozew FTC naraża na poważne zagrożenie prywatności i jest to wina Twojego telefonu

Jako były praktyk branży cyberbezpieczeństwa i obecny badacz cyberbezpieczeństwa, uważam, że najbardziej obciążające oskarżenia Zatko dotyczą rzekomego braku solidnego planu cyberbezpieczeństwa w celu ochrony danych użytkowników, wdrożenia kontroli wewnętrznych w celu ochrony przed zagrożeniami wewnętrznymi i zapewnienia, że ​​systemy firmy są aktualne i prawidłowo zaktualizowane.

Zatko twierdził również, że kierownictwo Twittera nie wypowiadało się na temat incydentów cyberbezpieczeństwa na platformie podczas informowania zarówno organów regulacyjnych, jak i zarządu firmy.

Twierdził, że Twitter nadawał priorytet wzrostowi użytkowników nad redukcją spamu i innych niechcianych treści, które zatruwały platformę i ograniczały wrażenia użytkownika.

Jego skarga wyrażała również obawy dotyczące praktyk biznesowych firmy.

Domniemane awarie bezpieczeństwa

Zarzuty Zatko malują niepokojący obraz nie tylko stanu cyberbezpieczeństwa Twittera jako platformy mediów społecznościowych, ale także świadomości bezpieczeństwa Twittera jako firmy.

Oba punkty są istotne, biorąc pod uwagę pozycję Twittera w globalnej komunikacji oraz toczącą się walkę z ekstremizmem i dezinformacją w Internecie.

Być może najważniejszym z zarzutów Zatko jest jego twierdzenie, że prawie połowa pracowników Twittera ma bezpośredni dostęp do danych użytkowników i kodu źródłowego Twittera.

Sprawdzone praktyki cyberbezpieczeństwa nie pozwalają tak wielu osobom z takim poziomem uprawnień „rootowych” lub „uprzywilejowanych” na dostęp do wrażliwych systemów i danych.

Jeśli to prawda, oznacza to, że Twitter może być gotowy do wyzysku zarówno od wewnątrz, jak i przez zewnętrznych przeciwników wspomaganych przez osoby z wewnątrz, które mogły nie zostać odpowiednio sprawdzone.

Zatko twierdzi również, że centra danych Twittera mogą nie być tak bezpieczne, odporne lub niezawodne, jak twierdzi firma.

Oszacował, że prawie połowa z 500 000 serwerów Twittera na całym świecie nie ma podstawowych zabezpieczeń, takich jak uruchamianie aktualnego i obsługiwanego przez producentów oprogramowania lub szyfrowanie przechowywanych na nich danych użytkowników.

Zauważył również, że brak solidnego planu ciągłości działania firmy oznacza, że ​​jeśli kilka jej centrów danych ulegnie awarii z powodu incydentu cybernetycznego lub innej katastrofy, może to doprowadzić do „egzystencjalnego zdarzenia kończącego firmę”.

To tylko niektóre z twierdzeń zawartych w skardze Zatko. Jeśli jego zarzuty są prawdziwe, Twitter zawiódł Cyberbezpieczeństwo 101.

Obawy związane z ingerencją obcego rządu

logo twittera na rozmytym tle
Obraz: KnowTechie

Zarzuty Zatko mogą również stanowić zagrożenie dla bezpieczeństwa narodowego.

Twitter był używany do rozpowszechniania dezinformacji i propagandy w ostatnich latach podczas globalnych wydarzeń, takich jak pandemia i wybory krajowe.

Na przykład raport Zatko stwierdzał, że rząd Indii zmusił Twittera do zatrudnienia agentów rządowych, którzy mieliby dostęp do ogromnej ilości poufnych danych Twittera.

W odpowiedzi wrogi sąsiad Indii, Pakistan, oskarżył Indie o próbę infiltracji systemu bezpieczeństwa Twittera „w celu ograniczenia podstawowych wolności”.

Biorąc pod uwagę globalny zasięg Twittera jako platformy komunikacyjnej, inne kraje, takie jak Rosja i Chiny, mogą wymagać, aby firma zatrudniała własnych agentów rządowych jako warunek zezwolenia firmie na działanie w ich kraju.

Zarzuty Zatko dotyczące bezpieczeństwa wewnętrznego Twittera wskazują, że przestępcy, aktywiści, wrogie rządy lub ich zwolennicy próbujący wykorzystać systemy Twittera i dane użytkowników poprzez rekrutację lub szantażowanie jego pracowników, mogą stanowić zagrożenie dla bezpieczeństwa narodowego.

Co gorsza, własne informacje Twittera na temat jego użytkowników, ich zainteresowań oraz tego, kogo śledzą i z kim wchodzą w interakcje na platformie, mogą ułatwić kierowanie do kampanii dezinformacyjnych, szantażu lub innych niecnych celów.

Takie zagraniczne atakowanie czołowych firm i ich pracowników od dziesięcioleci jest głównym zmartwieniem kontrwywiadu w społeczności zajmującej się bezpieczeństwem narodowym.

Opad

logo twittera na ekranie z tweetdeck
Obraz: Marketing Land

Niezależnie od wyniku skargi Zatko w Kongresie, SEC lub innych agencjach federalnych, jest to już część ostatnich dokumentów prawnych Muska, gdy próbuje wycofać się z zakupu Twittera.

W idealnym przypadku, w świetle tych ujawnień, Twitter podejmie działania naprawcze w celu ulepszenia systemów i praktyk cyberbezpieczeństwa firmy.

Dobrym pierwszym krokiem, jaki firma może podjąć, jest sprawdzenie i ograniczenie uprawnień administratora do jej systemów, kodu źródłowego i danych użytkownika do niezbędnej minimalnej liczby.

Firma powinna również zadbać o to, aby jej systemy produkcyjne były aktualne i aby była skutecznie przygotowana do radzenia sobie z wszelkiego rodzaju sytuacjami awaryjnymi bez znaczącego zakłócania swojej globalnej działalności.

Patrząc z szerszej perspektywy, skarga Zatko podkreśla kluczową, a czasem niewygodną rolę, jaką cyberbezpieczeństwo odgrywa we współczesnych organizacjach.

Specjaliści od cyberbezpieczeństwa, tacy jak Zatko, rozumieją, że żadna firma ani agencja rządowa nie lubi rozgłosu problemów związanych z cyberbezpieczeństwem.

Zwykle długo i intensywnie zastanawiają się, czy i jak zgłaszać takie obawy dotyczące cyberbezpieczeństwa oraz jakie mogą być potencjalne konsekwencje.

W tym przypadku Zatko mówi, że jego ujawnienia odzwierciedlają „pracę, do której został zatrudniony” jako szef bezpieczeństwa platformy mediów społecznościowych, która, jak mówi, „ma kluczowe znaczenie dla demokracji”.

W przypadku firm takich jak Twitter złe wiadomości o cyberbezpieczeństwie często skutkują koszmarem public relations, który może wpłynąć na cenę akcji i ich pozycję na rynku, nie wspominając o zainteresowaniu organów regulacyjnych i prawodawców.

W przypadku rządów takie rewelacje mogą prowadzić do braku zaufania do instytucji stworzonych, aby służyć społeczeństwu, a także potencjalnie powodować rozpraszający hałas polityczny.

Niestety, sposób wykrywania, ujawniania i rozwiązywania problemów związanych z cyberbezpieczeństwem pozostaje trudnym i czasem kontrowersyjnym procesem, w którym nie ma łatwego rozwiązania zarówno dla specjalistów od cyberbezpieczeństwa, jak i dla dzisiejszych organizacji.

Masz jakieś przemyślenia na ten temat? Przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

  • Instagram i Facebook śledzą Cię na innych stronach internetowych – oto jak
  • Co to są bezprzewodowe aktualizacje samochodów (OTA)?
  • Oto dlaczego wszyscy nienawidzą tych irytujących powiadomień o plikach cookie
  • iPhone kończy 15 lat: spojrzenie na przeszłość, teraźniejszość i przyszłość urządzenia

Uwaga redaktora: Ten artykuł został napisany przez Richarda Forno, głównego wykładowcę informatyki i elektrotechniki na Uniwersytecie Maryland w hrabstwie Baltimore i ponownie opublikowany z The Conversation na licencji Creative Commons. Przeczytaj oryginalny artykuł.