Twitter sta mettendo a rischio la sicurezza dei suoi utenti?
Pubblicato: 2022-09-03L'ex capo della sicurezza di Twitter, Peiter "Mudge" Zatko, ha presentato una denuncia presso la Securities and Exchange Commission nel luglio 2022, accusando la società della piattaforma di microblogging di gravi carenze di sicurezza.
Le accuse hanno amplificato il dramma in corso della potenziale vendita di Twitter a Elon Musk.
Zatko ha trascorso decenni come hacker etico, ricercatore privato, consigliere governativo e dirigente presso alcune delle più importanti società Internet e uffici governativi.
È praticamente una leggenda nel settore della sicurezza informatica. A causa della sua reputazione, quando parla, le persone e i governi normalmente ascoltano, il che sottolinea la gravità della sua denuncia contro Twitter.
LEGGI DI PIÙ: La causa FTC espone gravi rischi per la privacy ed è colpa del tuo telefono
In qualità di ex professionista del settore della sicurezza informatica e attuale ricercatore di sicurezza informatica, credo che le accuse più schiaccianti di Zatko siano incentrate sulla presunta incapacità di Twitter di disporre di un solido piano di sicurezza informatica per proteggere i dati degli utenti, implementare controlli interni per proteggersi dalle minacce interne e garantire che i sistemi dell'azienda fossero aggiornati e opportunamente aggiornato.
Zatko ha anche affermato che i dirigenti di Twitter sono stati poco disponibili sugli incidenti di sicurezza informatica sulla piattaforma quando hanno informato sia le autorità di regolamentazione che il consiglio di amministrazione dell'azienda.
Ha affermato che Twitter ha dato la priorità alla crescita degli utenti rispetto alla riduzione dello spam e di altri contenuti indesiderati che hanno avvelenato la piattaforma e sminuito l'esperienza dell'utente.
La sua denuncia ha anche espresso preoccupazione per le pratiche commerciali dell'azienda.
Presunti errori di sicurezza
Le accuse di Zatko dipingono un quadro inquietante non solo dello stato della sicurezza informatica di Twitter come piattaforma di social media, ma anche della consapevolezza della sicurezza di Twitter come azienda.
Entrambi i punti sono rilevanti data la posizione di Twitter nelle comunicazioni globali e la lotta in corso contro l'estremismo online e la disinformazione.
Forse la più significativa delle accuse di Zatko è la sua affermazione secondo cui quasi la metà dei dipendenti di Twitter ha accesso diretto ai dati degli utenti e al codice sorgente di Twitter.
Le pratiche di sicurezza informatica collaudate nel tempo non consentono a così tante persone con questo livello di autorizzazione "root" o "privilegiata" di accedere a sistemi e dati sensibili.
Se fosse vero, ciò significa che Twitter potrebbe essere maturo per lo sfruttamento dall'interno o da parte di avversari esterni assistiti da persone interne che potrebbero non essere state adeguatamente controllate.
Zatko sostiene inoltre che i data center di Twitter potrebbero non essere così sicuri, resilienti o affidabili come sostiene la società.
Ha stimato che quasi la metà dei 500.000 server di Twitter in tutto il mondo non dispongono di controlli di sicurezza di base come l'esecuzione di software aggiornato e supportato dal fornitore o la crittografia dei dati degli utenti archiviati su di essi.
Ha anche notato che la mancanza da parte dell'azienda di un solido piano di continuità aziendale significa che se molti dei suoi data center si guastassero a causa di un incidente informatico o di un altro disastro, ciò potrebbe portare a un "evento di fine aziendale esistenziale".
Queste sono solo alcune delle affermazioni fatte nella denuncia di Zatko. Se le sue accuse sono vere, Twitter ha fallito Cybersecurity 101.
Preoccupazioni per l'interferenza del governo straniero
Le accuse di Zatko potrebbero anche presentare una preoccupazione per la sicurezza nazionale.
Twitter è stato utilizzato per diffondere disinformazione e propaganda negli ultimi anni durante eventi globali come la pandemia e le elezioni nazionali.
Ad esempio, il rapporto di Zatko affermava che il governo indiano ha costretto Twitter ad assumere agenti governativi, che avrebbero avuto accesso a grandi quantità di dati sensibili di Twitter.
In risposta, il vicino a volte ostile dell'India, il Pakistan, ha accusato l'India di aver tentato di infiltrarsi nel sistema di sicurezza di Twitter "nel tentativo di frenare le libertà fondamentali".
Data l'impronta globale di Twitter come piattaforma di comunicazione, altre nazioni come Russia e Cina potrebbero richiedere all'azienda di assumere i propri agenti governativi come condizione per consentire all'azienda di operare nel loro paese.
Le accuse di Zatko sulla sicurezza interna di Twitter sollevano la possibilità che criminali, attivisti, governi ostili o loro sostenitori cerchino di sfruttare i sistemi di Twitter e i dati degli utenti reclutando o ricattando i suoi dipendenti potrebbero rappresentare una preoccupazione per la sicurezza nazionale.
Peggio ancora, le informazioni di Twitter sui suoi utenti, sui loro interessi e su chi seguono e interagiscono sulla piattaforma potrebbero facilitare il targeting per campagne di disinformazione, ricatto o altri scopi nefasti.
Questo tipo di bersagli stranieri di aziende importanti e dei loro dipendenti è stata per decenni una delle principali preoccupazioni del controspionaggio nella comunità della sicurezza nazionale.
Cadere
Qualunque sia l'esito della denuncia di Zatko al Congresso, alla SEC o ad altre agenzie federali, fa già parte degli ultimi documenti legali di Musk mentre cerca di ritirarsi dall'acquisto di Twitter.
Idealmente, alla luce di queste rivelazioni, Twitter adotterà azioni correttive per migliorare i sistemi e le pratiche di sicurezza informatica dell'azienda.
Un buon primo passo che l'azienda potrebbe compiere è rivedere e limitare al numero minimo necessario chi ha accesso root ai propri sistemi, codice sorgente e dati utente.
L'azienda dovrebbe inoltre garantire che i suoi sistemi di produzione siano mantenuti aggiornati e che sia effettivamente preparata a far fronte a qualsiasi tipo di situazione di emergenza senza interrompere in modo significativo le sue operazioni globali.
Da una prospettiva più ampia, la denuncia di Zatko sottolinea il ruolo critico e talvolta scomodo che la sicurezza informatica gioca nelle organizzazioni moderne.
I professionisti della sicurezza informatica come Zatko sanno che a nessuna azienda o agenzia governativa piace la pubblicità per i problemi di sicurezza informatica.
Tendono a pensare a lungo e intensamente se e come sollevare problemi di sicurezza informatica come questi e quali potrebbero essere le potenziali ramificazioni.
In questo caso, Zatko afferma che le sue rivelazioni riflettono "il lavoro per cui è stato assunto" come capo della sicurezza per una piattaforma di social media che, secondo lui, "è fondamentale per la democrazia".
Per aziende come Twitter, le cattive notizie sulla sicurezza informatica spesso si traducono in un incubo di pubbliche relazioni che potrebbe influenzare il prezzo delle azioni e la loro posizione sul mercato, per non parlare di attirare l'interesse di autorità di regolamentazione e legislatori.
Per i governi, tali rivelazioni possono portare a una mancanza di fiducia nelle istituzioni create per servire la società, oltre a creare potenzialmente disturbo politico.
Sfortunatamente, il modo in cui i problemi di sicurezza informatica vengono scoperti, divulgati e gestiti rimane un processo difficile e talvolta controverso, senza una soluzione facile sia per i professionisti della sicurezza informatica che per le organizzazioni di oggi.
Hai qualche idea su questo? Riporta la discussione sul nostro Twitter o Facebook.
Raccomandazioni della redazione:
- Instagram e Facebook ti seguono su altri siti web: ecco come fare
- Cosa sono gli aggiornamenti delle auto over-the-air (OTA)?
- Ecco perché tutti odiano quelle fastidiose notifiche sui cookie
- L'iPhone compie 15 anni: uno sguardo al passato, presente e futuro del dispositivo
Nota del redattore: questo articolo è stato scritto da Richard Forno, docente principale di informatica e ingegneria elettrica, Università del Maryland, contea di Baltimora , e ripubblicato da The Conversation con licenza Creative Commons. Leggi l'articolo originale.