Setzt Twitter die Sicherheit seiner Nutzer aufs Spiel?

Veröffentlicht: 2022-09-03

Der ehemalige Sicherheitschef von Twitter, Peiter „Mudge“ Zatko, reichte im Juli 2022 eine Whistleblower-Beschwerde bei der Securities and Exchange Commission ein und beschuldigte das Unternehmen der Microblogging-Plattform schwerwiegender Sicherheitsmängel.

Die Anschuldigungen verstärkten das anhaltende Drama um den möglichen Verkauf von Twitter an Elon Musk.

Zatko verbrachte Jahrzehnte als ethischer Hacker, privater Forscher, Regierungsberater und leitender Angestellter bei einigen der bekanntesten Internetunternehmen und Regierungsbehörden.

Er ist praktisch eine Legende in der Cybersicherheitsbranche. Aufgrund seines Rufs hören Menschen und Regierungen normalerweise zu, wenn er spricht – was die Ernsthaftigkeit seiner Beschwerde gegen Twitter unterstreicht.

LESEN SIE MEHR: Die FTC-Klage stellt ein großes Datenschutzrisiko dar, und Ihr Telefon ist schuld

Als ehemaliger Praktiker der Cybersicherheitsbranche und aktueller Cybersicherheitsforscher glaube ich, dass sich Zatkos schlimmste Anschuldigungen auf das angebliche Versagen von Twitter beziehen, einen soliden Cybersicherheitsplan zum Schutz von Benutzerdaten zu haben, interne Kontrollen zum Schutz vor Insider-Bedrohungen einzusetzen und sicherzustellen, dass die Systeme des Unternehmens aktuell und aktuell sind richtig aktualisiert.

Zatko behauptete auch, dass Twitter-Führungskräfte bei der Unterrichtung sowohl der Aufsichtsbehörden als auch des Vorstands des Unternehmens nicht sehr entgegenkommend über Cybersicherheitsvorfälle auf der Plattform waren.

Er behauptete, Twitter habe dem Nutzerwachstum Vorrang vor der Reduzierung von Spam und anderen unerwünschten Inhalten eingeräumt, die die Plattform vergiftet und die Benutzererfahrung beeinträchtigt hätten.

Seine Beschwerde brachte auch Bedenken hinsichtlich der Geschäftspraktiken des Unternehmens zum Ausdruck.

Angebliche Sicherheitsmängel

Die Anschuldigungen von Zatko zeichnen ein beunruhigendes Bild nicht nur vom Stand der Cybersicherheit von Twitter als Social-Media-Plattform, sondern auch vom Sicherheitsbewusstsein von Twitter als Unternehmen.

Beide Punkte sind angesichts der Position von Twitter in der globalen Kommunikation und des anhaltenden Kampfes gegen Online-Extremismus und Desinformation relevant.

Die vielleicht bedeutendste von Zatkos Behauptungen ist seine Behauptung, dass fast die Hälfte der Twitter-Mitarbeiter direkten Zugriff auf Benutzerdaten und den Quellcode von Twitter haben.

Bewährte Cybersicherheitspraktiken erlauben nicht so vielen Personen mit dieser „Root“- oder „privilegierten“ Berechtigung, auf sensible Systeme und Daten zuzugreifen.

Wenn dies zutrifft, bedeutet dies, dass Twitter reif für die Ausbeutung sein könnte, entweder von innen oder durch externe Gegner, die von internen Personen unterstützt werden, die möglicherweise nicht ordnungsgemäß überprüft wurden.

Zatko behauptet auch, dass die Rechenzentren von Twitter möglicherweise nicht so sicher, belastbar oder zuverlässig sind, wie das Unternehmen behauptet.

Er schätzt, dass es fast der Hälfte der 500.000 Twitter-Server auf der ganzen Welt an grundlegenden Sicherheitskontrollen wie der Ausführung aktueller und vom Hersteller unterstützter Software oder der Verschlüsselung der darauf gespeicherten Benutzerdaten mangelt.

Er merkte auch an, dass das Fehlen eines robusten Business-Continuity-Plans bedeutet, dass der Ausfall mehrerer Rechenzentren aufgrund eines Cyber-Vorfalls oder einer anderen Katastrophe zu einem „existenziellen Unternehmensende“ führen könnte.

Dies sind nur einige der Behauptungen in Zatkos Beschwerde. Wenn seine Behauptungen wahr sind, hat Twitter Cybersecurity 101 nicht bestanden.

Besorgnis über die Einmischung ausländischer Regierungen

Twitter-Logo auf verschwommenem Hintergrund
Bild: KnowTechie

Zatkos Anschuldigungen könnten auch Anlass zu nationaler Sicherheitsbedenken geben.

Twitter wurde in den letzten Jahren bei globalen Ereignissen wie der Pandemie und nationalen Wahlen zur Verbreitung von Desinformationen und Propaganda verwendet.

So heißt es beispielsweise in Zatkos Bericht, dass die indische Regierung Twitter gezwungen habe, Regierungsbeamte einzustellen, die Zugang zu riesigen Mengen von Twitters sensiblen Daten hätten.

Als Reaktion darauf beschuldigte Indiens zeitweise feindseliger Nachbar Pakistan Indien, versucht zu haben, das Sicherheitssystem von Twitter zu infiltrieren, „um die Grundfreiheiten einzuschränken“.

Angesichts der globalen Präsenz von Twitter als Kommunikationsplattform könnten andere Nationen wie Russland und China von dem Unternehmen verlangen, seine eigenen Regierungsbeamten einzustellen, um dem Unternehmen zu erlauben, in ihrem Land tätig zu werden.

Zatkos Behauptungen über die interne Sicherheit von Twitter werfen die Möglichkeit auf, dass Kriminelle, Aktivisten, feindliche Regierungen oder ihre Unterstützer versuchen, die Systeme und Benutzerdaten von Twitter auszunutzen, indem sie ihre Mitarbeiter rekrutieren oder erpressen, was durchaus ein nationales Sicherheitsproblem darstellen könnte.

Schlimmer noch, Twitters eigene Informationen über seine Nutzer, ihre Interessen und wen sie auf der Plattform verfolgen und mit wem sie interagieren, könnten das Targeting für Desinformationskampagnen, Erpressung oder andere schändliche Zwecke erleichtern.

Solche ausländischen Angriffe auf prominente Unternehmen und ihre Mitarbeiter sind seit Jahrzehnten eine große Sorge der Spionageabwehr in der nationalen Sicherheitsgemeinschaft.

Ausfallen

Twitter-Logo auf dem Bildschirm mit Tweetdeck
Bild: Marketingland

Was auch immer das Ergebnis von Zatkos Beschwerde im Kongress, bei der SEC oder anderen Bundesbehörden sein mag, es ist bereits Teil von Musks neuesten Rechtsakten, als er versucht, sich von seinem Kauf von Twitter zurückzuziehen.

Im Idealfall ergreift Twitter angesichts dieser Offenlegungen Korrekturmaßnahmen, um die Cybersicherheitssysteme und -praktiken des Unternehmens zu verbessern.

Ein guter erster Schritt, den das Unternehmen unternehmen könnte, besteht darin, zu überprüfen und zu beschränken, wer Root-Zugriff auf seine Systeme, seinen Quellcode und seine Benutzerdaten hat, und zwar auf das erforderliche Minimum.

Das Unternehmen sollte auch sicherstellen, dass seine Produktionssysteme auf dem neuesten Stand gehalten werden und dass es effektiv darauf vorbereitet ist, mit jeder Art von Notsituation fertig zu werden, ohne seine globalen Aktivitäten erheblich zu stören.

Aus einer breiteren Perspektive unterstreicht Zatkos Beschwerde die kritische und manchmal unbequeme Rolle, die Cybersicherheit in modernen Organisationen spielt.

Cybersicherheitsexperten wie Zatko wissen, dass kein Unternehmen oder keine Regierungsbehörde Publicity für Cybersicherheitsprobleme mag.

Sie neigen dazu, lange und intensiv darüber nachzudenken, ob und wie sie solche Bedenken hinsichtlich der Cybersicherheit äußern können – und welche möglichen Auswirkungen dies haben könnte.

In diesem Fall sagt Zatko, dass seine Offenlegungen „den Job widerspiegeln, für den er eingestellt wurde“ als Sicherheitschef für eine Social-Media-Plattform, von der er sagt, dass sie „kritisch für die Demokratie“ ist.

Für Unternehmen wie Twitter führen schlechte Cybersicherheitsnachrichten oft zu einem PR-Albtraum, der den Aktienkurs und ihre Stellung auf dem Markt beeinträchtigen könnte, ganz zu schweigen davon, dass sie das Interesse von Regulierungsbehörden und Gesetzgebern wecken.

Für Regierungen können solche Enthüllungen zu einem Mangel an Vertrauen in die Institutionen führen, die geschaffen wurden, um der Gesellschaft zu dienen, und möglicherweise ablenkenden politischen Lärm verursachen.

Leider bleibt die Art und Weise, wie Cybersicherheitsprobleme entdeckt, offengelegt und gehandhabt werden, ein schwieriger und manchmal kontroverser Prozess, für den es weder für Cybersicherheitsexperten noch für die heutigen Unternehmen eine einfache Lösung gibt.

Haben Sie irgendwelche Gedanken dazu? Übertragen Sie die Diskussion auf unser Twitter oder Facebook.

Empfehlungen der Redaktion:

  • Instagram und Facebook verfolgen Sie auf anderen Websites – so geht's
  • Was sind Over-the-Air (OTA)-Auto-Updates?
  • Deshalb hasst jeder diese lästigen Cookie-Benachrichtigungen
  • Das iPhone wird 15: Ein Blick auf die Vergangenheit, Gegenwart und Zukunft des Geräts

Anmerkung des Herausgebers: Dieser Artikel wurde von Richard Forno, Hauptdozent für Informatik und Elektrotechnik, University of Maryland, Baltimore County , verfasst und von The Conversation unter einer Creative Commons-Lizenz neu veröffentlicht. Lesen Sie den Originalartikel.