Twitter はユーザーのセキュリティを危険にさらしていますか?

公開: 2022-09-03

Twitter の元セキュリティ責任者である Peiter “Mudge” Zatko は、2022 年 7 月に証券取引委員会に内部告発者の苦情を提出し、マイクロブログ プラットフォーム企業が深刻なセキュリティ上の欠陥を抱えていると非難しました。

告発は、イーロン・マスクへのツイッターの売却の可能性に関する進行中のドラマを増幅した。

Zatko は、倫理的ハッカー、民間研究者、政府顧問、および最も著名なインターネット企業や政府機関の幹部として数十年を過ごしました。

彼は実質的にサイバーセキュリティ業界の伝説です。 彼の評判のおかげで、彼が話すとき、人々や政府は通常、耳を傾けます。

続きを読む: FTC の訴訟で重大なプライバシー リスクが露呈、それはあなたの携帯電話のせい

元サイバーセキュリティ業界の専門家であり、現在のサイバーセキュリティ研究者として、Zatko の最もひどい非難は、Twitter がユーザーデータを保護し、内部関係者の脅威から保護するための内部統制を展開し、会社のシステムが最新であり、最新であることを保証するための確固たるサイバーセキュリティ計画を持っていなかったという主張に集中していると思います。適当に更新。

Zatko はまた、Twitter の幹部は、規制当局と同社の取締役会の両方にブリーフィングを行った際に、プラットフォーム上のサイバーセキュリティ インシデントについてあまり積極的ではなかったと主張しました。

彼は、Twitter は、プラットフォームを汚染し、ユーザー エクスペリエンスを損なうスパムやその他の望ましくないコンテンツを減らすことよりも、ユーザーの成長を優先していると主張しました。

彼の苦情は、会社のビジネス慣行についての懸念も表明していました。

疑惑のセキュリティ障害

Zatko の主張は、ソーシャル メディア プラットフォームとしての Twitter のサイバーセキュリティの状態だけでなく、企業としての Twitter のセキュリティ意識についても憂慮すべき状況を描いています。

グローバル コミュニケーションにおける Twitter の位置付けと、オンラインの過激主義や偽情報に対する継続的な闘いを考えると、どちらの点も重要です。

おそらく、Zatko の主張の中で最も重要なのは、Twitter の従業員のほぼ半数がユーザー データと Twitter のソース コードに直接アクセスできるという彼の主張です。

実績のあるサイバーセキュリティの実践では、このレベルの「ルート」または「特権」権限を持つ多くの人々が、機密性の高いシステムやデータにアクセスすることを許可していません。

これが本当なら、Twitter は内部から、または適切に精査されていない可能性のある内部の人々に支援された外部の敵対者によって搾取される機が熟している可能性があることを意味します。

Zatko はまた、Twitter のデータセンターは、同社が主張するほど安全性、回復力、または信頼性が高くない可能性があると主張しています。

彼は、世界中の Twitter の 500,000 台のサーバーのほぼ半数が、最新のベンダー サポート ソフトウェアの実行や、サーバーに保存されているユーザー データの暗号化などの基本的なセキュリティ制御を欠いていると推定しています。

彼はまた、同社の強固な事業継続計画の欠如は、サイバーインシデントやその他の災害によりデータセンターのいくつかが故障した場合、「実在する会社の終焉イベント」につながる可能性があることを意味すると述べました.

これらは、Zatko の訴状でなされた主張のほんの一部です。 彼の主張が本当なら、Twitter は Cyber​​security 101 に失敗したことになります。

外国政府の干渉に対する懸念

背景をぼかした写真の twitter ロゴ
画像:ノウテック

Zatko の申し立ては、国家安全保障上の懸念も示している可能性があります。

近年、パンデミックや国政選挙などの世界的なイベントの際に、Twitter は偽情報やプロパガンダを広めるために使用されてきました。

たとえば、Zatko のレポートでは、インド政府が Twitter に、Twitter の膨大な量の機密データにアクセスできる政府機関の雇用を強制したと述べています。

これに対し、インドの時に敵対的な隣国であるパキスタンは、インドが「基本的な自由を制限するために」Twitter のセキュリティ システムに侵入しようとしていると非難した。

コミュニケーション プラットフォームとしての Twitter の世界的な足跡を考えると、ロシアや中国などの他の国は、会社が自国で事業を行うことを許可する条件として、会社に独自の政府機関を雇うことを要求する可能性があります。

Twitter の内部セキュリティに関する Zatko の主張は、犯罪者、活動家、敵対的な政府、またはその支持者が、Twitter のシステムとユーザー データを悪用しようとして、従業員を募集したり脅迫したりする可能性を高めています。

さらに悪いことに、ユーザー、ユーザーの興味、プラットフォーム上でフォローおよび交流しているユーザーに関する Twitter の独自の情報は、偽情報キャンペーン、脅迫、またはその他の悪意のある目的のターゲットを容易にする可能性があります。

著名な企業とその従業員に対するこのような外国の標的は、何十年もの間、国家安全保障コミュニティにおける主要な防諜上の懸念でした.

フォールアウト

tweetdeck を使用した画面上の twitter ロゴ
画像:マーケティングランド

議会、SEC、またはその他の連邦機関における Zatko の不服申し立ての結果がどうであれ、それは Musk が Twitter の買収を撤回しようとしている最新の訴訟書類の一部になっています。

理想的には、これらの開示に照らして、Twitter は会社のサイバーセキュリティ システムと慣行を改善するための是正措置を講じます。

同社がとるべき最初のステップは、システム、ソース コード、およびユーザー データへのルート アクセス権を持つユーザーを見直し、必要最小限に制限することです。

同社はまた、生産システムを最新の状態に保ち、グローバルな業務を大幅に中断させることなく、あらゆる種類の緊急事態に対処できるように効果的に準備する必要があります。

より広い観点から見ると、Zatko の苦情は、現代の組織においてサイバーセキュリティが果たしている重要で、時には不快な役割を強調しています。

Zatko のようなサイバーセキュリティの専門家は、サイバーセキュリティの問題を宣伝することを好む企業や政府機関はないことを理解しています。

彼らは、このようなサイバーセキュリティの懸念を提起するかどうか、またどのように提起するか、そして潜在的な影響が何であるかについて、長く真剣に考える傾向があります.

この場合、Zatko は、彼の開示は、彼が「民主主義にとって重要である」と言うソーシャル メディア プラットフォームのセキュリティ責任者として、「彼が雇われた仕事」を反映していると述べています。

Twitter のような企業にとって、サイバーセキュリティに関する悪いニュースは、規制当局や議員の関心を引くことは言うまでもなく、株価や市場での地位に影響を与える可能性のある広報の悪夢をもたらすことがよくあります。

政府にとって、このような暴露は、社会に奉仕するために設立された機関への信頼の欠如につながる可能性があり、さらに、気を散らす政治的ノイズを生み出す可能性があります.

残念ながら、サイバーセキュリティの問題をどのように発見、開示、処理するかは依然として困難であり、時には物議を醸すプロセスであり、サイバーセキュリティの専門家と今日の組織の両方にとって簡単な解決策はありません.

これについて何か考えはありますか? ディスカッションを Twitter または Facebook に持ち込んでください。

編集者の推奨事項:

  • Instagram と Facebook は、他のウェブサイトであなたを追跡します – これがその方法です
  • 無線 (OTA) 車のアップデートとは何ですか?
  • 誰もが迷惑な Cookie 通知を嫌う理由は次のとおりです。
  • iPhone が 15 歳になる: デバイスの過去、現在、未来を振り返る

編集者注:この記事は、メリーランド大学ボルチモア郡コンピューター サイエンスおよび電気工学の主任講師である Richard Forno によって書かれ、クリエイティブ コモンズ ライセンスに基づいて The Conversation から再発行されました。 元の記事を読んでください。