هل يعرض تويتر أمن مستخدميه للخطر؟
نشرت: 2022-09-03قدم رئيس الأمن السابق في Twitter ، Peiter “Mudge” Zatko ، شكوى المبلغين عن المخالفات إلى لجنة الأوراق المالية والبورصات في يوليو 2022 ، متهمًا شركة منصة المدونات الصغيرة بإخفاقات أمنية خطيرة.
ضاعفت الاتهامات من الدراما المستمرة لبيع تويتر المحتمل لإيلون ماسك.
قضى زاتكو عقودًا من الزمن كهاكر أخلاقي وباحث خاص ومستشار حكومي ومدير تنفيذي في بعض أبرز شركات الإنترنت والمكاتب الحكومية.
إنه عمليا أسطورة في صناعة الأمن السيبراني. بسبب سمعته ، عندما يتحدث ، عادة ما يستمع الناس والحكومات - مما يؤكد جدية شكواه ضد تويتر.
اقرأ المزيد: تعرض الدعوى القضائية للجنة التجارة الفيدرالية (FTC) مخاطر كبيرة على الخصوصية ، وهي خطأ هاتفك
بصفتي ممارسًا سابقًا في مجال الأمن السيبراني وباحثًا حاليًا في مجال الأمن السيبراني ، أعتقد أن أكثر اتهامات Zatko إدانة تتمحور حول فشل Twitter المزعوم في امتلاك خطة أمن إلكتروني قوية لحماية بيانات المستخدم ، ونشر الضوابط الداخلية للحماية من التهديدات الداخلية والتأكد من أن أنظمة الشركة حديثة و محدثة بشكل صحيح.
كما زعم زاتكو أن المديرين التنفيذيين في تويتر لم يكونوا صريحين بشأن حوادث الأمن السيبراني على المنصة عند إطلاع كل من المنظمين ومجلس إدارة الشركة.
وادعى أن Twitter أعطى الأولوية لنمو المستخدمين على تقليل البريد العشوائي والمحتوى الآخر غير المرغوب فيه الذي أفسد النظام الأساسي وانتقص من تجربة المستخدم.
كما عبرت شكواه عن مخاوف بشأن ممارسات الشركة التجارية.
إخفاقات أمنية مزعومة
ترسم مزاعم زاتكو صورة مقلقة ليس فقط عن حالة الأمن السيبراني لتويتر كمنصة لوسائل التواصل الاجتماعي ، ولكن أيضًا للوعي الأمني لتويتر كشركة.
كلتا النقطتين ذات صلة بالنظر إلى موقع Twitter في الاتصالات العالمية والصراع المستمر ضد التطرف عبر الإنترنت والمعلومات المضللة.
ربما يكون أهم مزاعم زاتكو هو ادعائه أن ما يقرب من نصف موظفي تويتر لديهم وصول مباشر إلى بيانات المستخدم وكود مصدر تويتر.
لا تسمح ممارسات الأمن السيبراني التي تم اختبارها بمرور الوقت للعديد من الأشخاص الذين لديهم هذا المستوى من إذن "الجذر" أو "الامتياز" بالوصول إلى الأنظمة والبيانات الحساسة.
إذا كان هذا صحيحًا ، فهذا يعني أن تويتر قد يكون جاهزًا للاستغلال إما من الداخل أو من قبل خصوم خارجيين يساعدهم أشخاص من الداخل ربما لم يتم فحصهم بشكل صحيح.
يدعي Zatko أيضًا أن مراكز بيانات Twitter قد لا تكون آمنة أو مرنة أو موثوقة كما تدعي الشركة.
وقدر أن ما يقرب من نصف خوادم Twitter البالغ عددها 500000 حول العالم تفتقر إلى ضوابط الأمان الأساسية مثل تشغيل البرامج الحديثة التي يدعمها البائعون أو تشفير بيانات المستخدم المخزنة عليها.
وأشار أيضًا إلى أن افتقار الشركة لخطة قوية لاستمرارية الأعمال يعني أنه في حالة فشل العديد من مراكز البيانات التابعة لها بسبب حادث إلكتروني أو كارثة أخرى ، فقد يؤدي ذلك إلى "حدث إنهاء وجودي للشركة".
هذه ليست سوى بعض الادعاءات الواردة في شكوى زاتكو. إذا كانت مزاعمه صحيحة ، فإن Twitter قد فشل في Cybersecurity 101.
مخاوف من تدخل الحكومات الأجنبية
قد تمثل مزاعم زاتكو أيضًا مصدر قلق للأمن القومي.
تم استخدام تويتر لنشر المعلومات المضللة والدعاية في السنوات الأخيرة خلال الأحداث العالمية مثل الوباء والانتخابات الوطنية.
على سبيل المثال ، ذكر تقرير Zatko أن الحكومة الهندية أجبرت Twitter على توظيف وكلاء حكوميين ، الذين يمكنهم الوصول إلى كميات هائلة من البيانات الحساسة على Twitter.
رداً على ذلك ، اتهمت باكستان المجاورة العدائية للهند في بعض الأحيان الهند بمحاولة التسلل إلى النظام الأمني لتويتر "في محاولة لكبح الحريات الأساسية".
بالنظر إلى البصمة العالمية لتويتر كمنصة اتصالات ، يمكن لدول أخرى مثل روسيا والصين أن تطلب من الشركة توظيف وكلاء حكوميين خاصين بها كشرط للسماح للشركة بالعمل في بلدهم.
تثير مزاعم زاتكو حول الأمن الداخلي لتويتر إمكانية قيام المجرمين أو النشطاء أو الحكومات المعادية أو مؤيديهم باستغلال أنظمة تويتر وبيانات المستخدم من خلال تجنيد أو ابتزاز موظفيها ، مما قد يمثل مصدر قلق للأمن القومي.
والأسوأ من ذلك ، أن المعلومات الخاصة بتويتر حول مستخدميها واهتماماتهم والأشخاص الذين يتابعونهم ويتفاعلون معهم على المنصة يمكن أن تسهل استهداف حملات التضليل أو الابتزاز أو أي أغراض شائنة أخرى.
مثل هذا الاستهداف الأجنبي للشركات البارزة وموظفيها كان مصدر قلق كبير للاستخبارات المضادة في مجتمع الأمن القومي لعقود.
يسقط
مهما كانت نتيجة شكوى Zatko في الكونجرس أو لجنة الأوراق المالية والبورصات أو غيرها من الوكالات الفيدرالية ، فهي بالفعل جزء من أحدث الإيداعات القانونية لماسك حيث يحاول التراجع عن شرائه لموقع Twitter.
من الناحية المثالية ، في ضوء هذه الإفصاحات ، سيتخذ تويتر إجراءات تصحيحية لتحسين أنظمة وممارسات الأمن السيبراني للشركة.
الخطوة الأولى الجيدة التي يمكن أن تتخذها الشركة هي مراجعة وتحديد من لديه حق الوصول إلى الجذر لأنظمتها وكود المصدر وبيانات المستخدم إلى الحد الأدنى من العدد الضروري.
يجب على الشركة أيضًا التأكد من أن أنظمة الإنتاج الخاصة بها يتم تحديثها باستمرار وأنها مستعدة بشكل فعال للتعامل مع أي نوع من حالات الطوارئ دون تعطيل عملياتها العالمية بشكل كبير.
من منظور أوسع ، تؤكد شكوى Zatko على الدور الحاسم وغير المريح في بعض الأحيان الذي يلعبه الأمن السيبراني في المنظمات الحديثة.
يدرك محترفو الأمن السيبراني مثل Zatko أنه لا توجد شركة أو وكالة حكومية تحب الدعاية لمشاكل الأمن السيبراني.
إنهم يميلون إلى التفكير طويلاً وبجدًا حول ما إذا كان سيتم طرح مخاوف تتعلق بالأمن السيبراني مثل هذه وكيفية طرحها - وما هي التداعيات المحتملة.
في هذه الحالة ، يقول زاتكو إن إفصاحه يعكس "الوظيفة التي تم تعيينه للقيام بها" كرئيس للأمن لمنصة وسائط اجتماعية يقول إنها "بالغة الأهمية للديمقراطية".
بالنسبة لشركات مثل Twitter ، غالبًا ما تؤدي أخبار الأمن السيبراني السيئة إلى كابوس علاقات عامة يمكن أن يؤثر على سعر السهم ومكانتها في السوق ، ناهيك عن جذب اهتمام المنظمين والمشرعين.
بالنسبة للحكومات ، يمكن أن تؤدي هذه الاكتشافات إلى انعدام الثقة في المؤسسات التي تم إنشاؤها لخدمة المجتمع ، بالإضافة إلى احتمالية خلق ضوضاء سياسية مشتتة للانتباه.
لسوء الحظ ، تظل كيفية اكتشاف مشكلات الأمن السيبراني والكشف عنها ومعالجتها عملية صعبة ومثيرة للجدل في بعض الأحيان ، مع عدم وجود حل سهل لكل من المتخصصين في الأمن السيبراني ومؤسسات اليوم.
هل لديك أي أفكار حول هذا؟ انقل المناقشة إلى Twitter أو Facebook.
توصيات المحررين:
- يتتبعك Instagram و Facebook على مواقع الويب الأخرى - وإليك الطريقة
- ما هي تحديثات السيارة عبر الهواء (OTA)؟
- إليكم سبب كره الجميع لإشعارات ملفات تعريف الارتباط المزعجة
- يبلغ عمر iPhone 15 عامًا: نظرة على ماضي الجهاز وحاضره ومستقبله
ملاحظة المحرر: كتب هذا المقال ريتشارد فورنو ، المحاضر الرئيسي في علوم الكمبيوتر والهندسة الكهربائية ، جامعة ميريلاند ، مقاطعة بالتيمور ، وأعيد نشره من The Conversation بموجب ترخيص المشاع الإبداعي. اقرأ المقال الأصلي.