Twitter muhbiri, güvenlik önlemlerinde ‘korkunç eksiklikler’ olduğunu iddia ediyor | heyecan

Twitter’ın eski güvenlik şefi, şirketi kullanıcı bilgilerini ve spam botlarını ele almasında “aşırı, korkunç eksiklikler” ile suçladı.

“Mudge” olarak bilinen kıdemli bir bilgisayar korsanı ve güvenlik uzmanı olan Peiter Zatko, şirketin güvenlik önlemlerinin gücü konusunda kullanıcıları, yönetim kurulu üyelerini ve federal hükümeti aldattığını söylüyor. Zatko, 2020’de Twitter’ın kurucu ortağı ve ardından CEO Jack Dorsey tarafından 130 yüksek profilli Twitter hesabını hedef alan toplu bir saldırının ardından şirketin güvenliğini güçlendirmek için işe alındı.

Zatko, şikayette yer alan Şubat ayında yazdığı bir analizde, “Twitter, bilgi güvenliğinin çeşitli alanlarında son derece ihmalkar” diye yazdı. “Bu sorunlar düzeltilmezse, düzenleyiciler, medya ve platform kullanıcıları, Twitter’ın ciddi güvenlik temellerinden yoksun olduğunu kaçınılmaz olarak öğrendiklerinde şok olacaklar.”

Zatko, ilk olarak Salı sabahı Washington Post ve CNN tarafından bildirilen şikayeti Menkul Kıymetler ve Borsa Komisyonu (SEC), Adalet Bakanlığı ve Federal Ticaret Komisyonu’na (FTC) sundu. Şikayetin düzeltilmiş bir versiyonu birden fazla kongre komitesine gönderildi.

Dosyalama, Twitter’ın, şirketin kullanıcıların kişisel bilgilerini korumak için kapsamlı bir güvenlik planı oluşturacağını söylediği FTC ile 2011 anlaşmasını ihlal ettiğini iddia ediyor. Zatko, Twitter’ın en yüksek profilli doğrulanmış tanıtıcılarından gelenler de dahil olmak üzere kullanıcı verilerinin saldırılara karşı savunmasız olduğunu söylüyor.

Zatko’nun gündeme getirdiği özel bir konu, binlerce Twitter çalışanının şirketin temel yazılımına erişimi ve donanımlarının çoğunun sahip olduğunu gördüğü düşük güvenlik. Şikayet, şirketteki dizüstü bilgisayarların yaklaşık %30’unun güvenlik düzeltmeleri içeren güncellemeleri otomatik olarak engellediğini iddia ediyor.

Zatko, Twitter yöneticilerini bu güvenlik açıkları hakkında şirketin yönetim kurulunu kasten yanıltmakla suçladı. Geçen yılın sonlarında yönetim kurulunun risk komitesine yapılan bir sunum, çalışanların bilgisayarlarının %92’sinde güvenlik yazılımının kurulu olduğunu söyledi. Ancak Zatko, yöneticilerin protestolarına rağmen, onlara şirketin bilgisayarlarının üçte birinin hala savunmasız olduğunu söylemediğini iddia ediyor.

Zatko, risk komitesinin toplantısının hileli olabileceğini dahili olarak bildirdikten sonra, Ocak ayında Agrawal tarafından görevden alındı.

Twitter, hassas kullanıcı bilgilerini ele alması nedeniyle son aylarda ateş altında kaldı. Bu ayın başlarında, eski bir Twitter çalışanı Suudi muhalifleri gözetlemek ve bilgilerini Suudi hükümetine aktarmaktan suçlu bulundu. Şirket ayrıca güvenlik amacıyla kullanıcı e-posta adreslerini ve telefon numaralarını topladığı ve ardından bunları pazarlama amacıyla kullandığı için ABD federal hükümeti tarafından 150 dolar para cezasına çarptırıldı.

Şikayet ayrıca, Twitter’ın uğraştığı spam botlarının miktarı konusunda açık davranmadığını da iddia ediyor. Zatko, şirketin kendisine platformda ne kadar spam ve bot bulunduğuna dair net bir cevap vermesini sağlayamadığını söyledi. Agrawal’ın Mayıs ayında Twitter’ın “mümkün olduğunca fazla istenmeyen postayı tespit etmek ve kaldırmak için güçlü bir şekilde teşvik edildiğini” ve şirket yöneticilerinin bunun yerine kullanıcı sayılarını artırmaya teşvik edildiğini söylediğinde “yalan söylediğini” söyledi.

Twitter yaptığı açıklamada Zatko’nun suçlamalarını reddetti ve kötü performans ve liderlik nedeniyle kovulduğunu söyledi.

Şirket CNN’e yaptığı açıklamada, “Şu ana kadar gördüğümüz şey, Twitter ve gizlilik ve veri güvenliği uygulamalarımız hakkında tutarsızlıklar ve yanlışlıklarla dolu ve önemli bir bağlamdan yoksun yanlış bir anlatı” dedi. “Bay. Zatko’nun iddiaları ve fırsatçı zamanlaması, Twitter’a, müşterilerine ve hissedarlarına dikkat çekmek ve zarar vermek için tasarlanmış görünüyor. Güvenlik ve gizlilik, Twitter’da uzun süredir şirket çapında öncelikler olmuştur ve olmaya devam edecektir.”

Zatko, Washington Post’a bulgularını bildirmek için “etik olarak bağlı” hissettiğini ve bunun “alınacak hafif bir adım olmadığını” söyledi.

Şikayet, Musk’ın şirketi 44 milyar dolara satın alma planlarını, şirketin platformlarında botların yaygınlığını küçümsediğini söyleyerek bırakmasının ardından Elon Musk ile Twitter’ın yasal savaşının ortasında geldi. Zatko’nun temsilcileri CNN’e Musk ile temas halinde olmadığını söyledi. Bu arada Musk’ın avukatı Alex Spiro, kendisi için bir mahkeme celbi çıkardıklarını ve “savaştığımız şeyin ışığında onun ve diğer kilit çalışanların çıkışını merak ettiklerini” söyledi. Şirketin Ekim ayında Delaware’de Musk ile mahkemeye çıkması planlanıyor.