Apakah Twitter membahayakan keamanan penggunanya?

Diterbitkan: 2022-09-03

Mantan kepala keamanan Twitter, Peiter “Mudge” Zatko, mengajukan pengaduan pelapor ke Securities and Exchange Commission pada Juli 2022, menuduh perusahaan platform microblogging itu melakukan kegagalan keamanan yang serius.

Tuduhan itu memperkuat drama yang sedang berlangsung tentang potensi penjualan Twitter ke Elon Musk.

Zatko menghabiskan beberapa dekade sebagai peretas etis, peneliti swasta, penasihat pemerintah, dan eksekutif di beberapa perusahaan internet dan kantor pemerintah paling terkemuka.

Dia praktis menjadi legenda di industri keamanan siber. Karena reputasinya, ketika dia berbicara, orang dan pemerintah biasanya mendengarkan – yang menggarisbawahi keseriusan keluhannya terhadap Twitter.

BACA LEBIH LANJUT: Gugatan FTC mengekspos risiko privasi utama, dan itu adalah kesalahan ponsel Anda

Sebagai mantan praktisi industri keamanan siber dan peneliti keamanan siber saat ini, saya percaya bahwa tuduhan paling memberatkan Zatko berpusat pada dugaan kegagalan Twitter untuk memiliki rencana keamanan siber yang solid untuk melindungi data pengguna, menerapkan kontrol internal untuk menjaga dari ancaman orang dalam dan memastikan sistem perusahaan mutakhir dan diperbarui dengan benar.

Zatko juga menuduh bahwa eksekutif Twitter kurang terbuka tentang insiden keamanan siber di platform ketika memberi pengarahan kepada regulator dan dewan direksi perusahaan.

Dia mengklaim bahwa Twitter memprioritaskan pertumbuhan pengguna daripada mengurangi spam dan konten tidak diinginkan lainnya yang meracuni platform dan mengurangi pengalaman pengguna.

Keluhannya juga mengungkapkan keprihatinan tentang praktik bisnis perusahaan.

Dugaan kegagalan keamanan

Tuduhan Zatko melukiskan gambaran yang mengganggu tidak hanya keadaan keamanan siber Twitter sebagai platform media sosial, tetapi juga kesadaran keamanan Twitter sebagai sebuah perusahaan.

Kedua poin tersebut relevan mengingat posisi Twitter dalam komunikasi global dan perjuangan berkelanjutan melawan ekstremisme online dan disinformasi.

Mungkin tuduhan yang paling signifikan dari Zatko adalah klaimnya bahwa hampir setengah dari karyawan Twitter memiliki akses langsung ke data pengguna dan kode sumber Twitter.

Praktik keamanan siber yang telah teruji oleh waktu tidak mengizinkan begitu banyak orang dengan tingkat izin "root" atau "hak istimewa" ini untuk mengakses sistem dan data sensitif.

Jika benar, ini berarti bahwa Twitter bisa siap untuk dieksploitasi baik dari dalam maupun oleh musuh dari luar yang dibantu oleh orang-orang di dalam yang mungkin tidak diperiksa dengan benar.

Zatko juga menuduh bahwa pusat data Twitter mungkin tidak seaman, tangguh, atau andal seperti yang diklaim perusahaan.

Dia memperkirakan bahwa hampir setengah dari 500.000 server Twitter di seluruh dunia tidak memiliki kontrol keamanan dasar seperti menjalankan perangkat lunak terbaru dan didukung vendor atau mengenkripsi data pengguna yang tersimpan di dalamnya.

Dia juga mencatat bahwa kurangnya rencana kesinambungan bisnis perusahaan yang kuat berarti bahwa jika beberapa pusat datanya gagal karena insiden dunia maya atau bencana lainnya, itu dapat menyebabkan "peristiwa akhir perusahaan yang ada".

Ini hanya beberapa klaim yang dibuat dalam pengaduan Zatko. Jika tuduhannya benar, Twitter telah gagal dalam Cybersecurity 101.

Kekhawatiran atas campur tangan pemerintah asing

logo twitter dengan latar belakang buram
Gambar: KnowTechie

Tuduhan Zatko mungkin juga menghadirkan masalah keamanan nasional.

Twitter telah digunakan untuk menyebarkan disinformasi dan propaganda dalam beberapa tahun terakhir selama peristiwa global seperti pandemi dan pemilihan nasional.

Misalnya, laporan Zatko menyatakan bahwa pemerintah India memaksa Twitter untuk mempekerjakan agen pemerintah, yang akan memiliki akses ke sejumlah besar data sensitif Twitter.

Sebagai tanggapan, tetangga India yang terkadang bermusuhan, Pakistan, menuduh India mencoba menyusup ke sistem keamanan Twitter “dalam upaya untuk mengekang kebebasan mendasar.”

Mengingat jejak global Twitter sebagai platform komunikasi, negara-negara lain seperti Rusia dan China dapat meminta perusahaan untuk mempekerjakan agen pemerintahnya sendiri sebagai syarat untuk mengizinkan perusahaan beroperasi di negara mereka.

Tuduhan Zatko tentang keamanan internal Twitter meningkatkan kemungkinan penjahat, aktivis, pemerintah yang bermusuhan, atau pendukung mereka yang berusaha mengeksploitasi sistem dan data pengguna Twitter dengan merekrut atau memeras karyawannya dapat menimbulkan masalah keamanan nasional.

Lebih buruk lagi, informasi Twitter sendiri tentang penggunanya, minat mereka dan dengan siapa mereka mengikuti dan berinteraksi di platform dapat memfasilitasi penargetan untuk kampanye disinformasi, pemerasan, atau tujuan jahat lainnya.

Penargetan asing seperti itu terhadap perusahaan-perusahaan terkemuka dan karyawannya telah menjadi kekhawatiran kontra-intelijen utama dalam komunitas keamanan nasional selama beberapa dekade.

Rontok

logo twitter di layar dengan tweetdeck
Gambar: Tanah Pemasaran

Apa pun hasil dari keluhan Zatko di Kongres, SEC atau lembaga federal lainnya, itu sudah menjadi bagian dari pengajuan hukum terbaru Musk saat ia mencoba untuk mundur dari pembelian Twitter-nya.

Idealnya, dengan adanya pengungkapan ini, Twitter akan mengambil tindakan korektif untuk meningkatkan sistem dan praktik keamanan siber perusahaan.

Langkah pertama yang baik yang dapat diambil perusahaan adalah meninjau dan membatasi siapa yang memiliki akses root ke sistem, kode sumber, dan data pengguna ke jumlah minimum yang diperlukan.

Perusahaan juga harus memastikan bahwa sistem produksinya tetap mutakhir dan siap secara efektif untuk menghadapi segala jenis situasi darurat tanpa mengganggu operasi globalnya secara signifikan.

Dari perspektif yang lebih luas, keluhan Zatko menggarisbawahi peran penting dan terkadang tidak nyaman yang dimainkan keamanan siber dalam organisasi modern.

Profesional keamanan siber seperti Zatko memahami bahwa tidak ada perusahaan atau lembaga pemerintah yang menyukai publisitas untuk masalah keamanan siber.

Mereka cenderung berpikir panjang dan keras tentang apakah dan bagaimana mengangkat masalah keamanan siber seperti ini – dan apa potensi konsekuensinya.

Dalam kasus ini, Zatko mengatakan pengungkapannya mencerminkan "pekerjaan yang dia lakukan" sebagai kepala keamanan untuk platform media sosial yang dia katakan "sangat penting untuk demokrasi."

Bagi perusahaan seperti Twitter, berita keamanan siber yang buruk sering mengakibatkan mimpi buruk hubungan masyarakat yang dapat memengaruhi harga saham dan posisi mereka di pasar, belum lagi menarik minat regulator dan pembuat undang-undang.

Bagi pemerintah, pengungkapan semacam itu dapat menyebabkan kurangnya kepercayaan pada lembaga yang diciptakan untuk melayani masyarakat, selain berpotensi menciptakan kebisingan politik yang mengganggu.

Sayangnya, bagaimana masalah keamanan siber ditemukan, diungkapkan, dan ditangani tetap merupakan proses yang sulit dan terkadang kontroversial, tanpa solusi yang mudah baik bagi para profesional keamanan siber maupun organisasi saat ini.

Punya pemikiran tentang ini? Bawa diskusi ke Twitter atau Facebook kami.

Rekomendasi Editor:

  • Instagram dan Facebook melacak Anda di situs web lain – begini caranya
  • Apa itu pembaruan mobil over-the-air (OTA)?
  • Inilah mengapa semua orang membenci pemberitahuan cookie yang mengganggu itu
  • IPhone berusia 15 tahun: Pandangan tentang masa lalu, sekarang, dan masa depan perangkat

Catatan Editor: Artikel ini ditulis oleh Richard Forno, Dosen Utama Ilmu Komputer dan Teknik Elektro, Universitas Maryland, Baltimore County , dan diterbitkan ulang dari The Conversation di bawah lisensi Creative Commons. Baca artikel aslinya.