O Twitter está colocando em risco a segurança de seus usuários?

Publicados: 2022-09-03

O ex-chefe de segurança do Twitter, Peiter “Mudge” Zatko, apresentou uma queixa de denunciante à Comissão de Valores Mobiliários em julho de 2022, acusando a empresa de plataforma de microblog de graves falhas de segurança.

As acusações amplificaram o drama da potencial venda do Twitter para Elon Musk.

Zatko passou décadas como hacker ético, pesquisador privado, conselheiro do governo e executivo em algumas das mais proeminentes empresas de internet e escritórios do governo.

Ele é praticamente uma lenda no setor de segurança cibernética. Por causa de sua reputação, quando ele fala, pessoas e governos normalmente ouvem – o que ressalta a gravidade de sua denúncia contra o Twitter.

LEIA MAIS: Processo da FTC expõe grande risco de privacidade e é culpa do seu telefone

Como ex-praticante do setor de segurança cibernética e atual pesquisador de segurança cibernética, acredito que as acusações mais contundentes de Zatko giram em torno da suposta falha do Twitter em ter um plano sólido de segurança cibernética para proteger os dados do usuário, implantar controles internos para se proteger contra ameaças internas e garantir que os sistemas da empresa estejam atualizados e devidamente atualizado.

Zatko também alegou que os executivos do Twitter foram menos do que diretos sobre os incidentes de segurança cibernética na plataforma ao informar os reguladores e o conselho de administração da empresa.

Ele afirmou que o Twitter priorizou o crescimento do usuário em vez de reduzir o spam e outros conteúdos indesejados que envenenaram a plataforma e prejudicaram a experiência do usuário.

Sua reclamação também expressou preocupação com as práticas de negócios da empresa.

Falhas de segurança alegadas

As alegações de Zatko pintam um quadro perturbador não apenas do estado da segurança cibernética do Twitter como plataforma de mídia social, mas também da consciência de segurança do Twitter como empresa.

Ambos os pontos são relevantes, dada a posição do Twitter nas comunicações globais e a luta contínua contra o extremismo e a desinformação online.

Talvez a mais significativa das alegações de Zatko seja sua afirmação de que quase metade dos funcionários do Twitter tem acesso direto aos dados do usuário e ao código-fonte do Twitter.

As práticas de segurança cibernética testadas pelo tempo não permitem que tantas pessoas com esse nível de permissão “raiz” ou “privilegiada” acessem sistemas e dados confidenciais.

Se for verdade, isso significa que o Twitter pode estar pronto para exploração interna ou por adversários externos auxiliados por pessoas de dentro que podem não ter sido devidamente avaliadas.

Zatko também alega que os data centers do Twitter podem não ser tão seguros, resilientes ou confiáveis ​​quanto a empresa afirma.

Ele estimou que quase metade dos 500.000 servidores do Twitter em todo o mundo carecem de controles básicos de segurança, como executar software atualizado e suportado pelo fornecedor ou criptografar os dados do usuário armazenados neles.

Ele também observou que a falta de um plano robusto de continuidade de negócios da empresa significa que, caso vários de seus data centers falhem devido a um incidente cibernético ou outro desastre, isso pode levar a um “evento de encerramento existencial da empresa”.

Essas são apenas algumas das alegações feitas na denúncia de Zatko. Se suas alegações forem verdadeiras, o Twitter falhou no Cybersecurity 101.

Preocupações com a interferência do governo estrangeiro

logotipo do twitter em fundo desfocado
Imagem: Know Techie

As alegações de Zatko também podem apresentar uma preocupação de segurança nacional.

O Twitter tem sido usado para espalhar desinformação e propaganda nos últimos anos durante eventos globais como a pandemia e as eleições nacionais.

Por exemplo, o relatório de Zatko afirmou que o governo indiano forçou o Twitter a contratar agentes do governo, que teriam acesso a grandes quantidades de dados confidenciais do Twitter.

Em resposta, o vizinho às vezes hostil da Índia, Paquistão, acusou a Índia de tentar se infiltrar no sistema de segurança do Twitter “em um esforço para restringir as liberdades fundamentais”.

Dada a presença global do Twitter como plataforma de comunicação, outras nações, como Rússia e China, podem exigir que a empresa contrate seus próprios agentes governamentais como condição para permitir que a empresa opere em seu país.

As alegações de Zatko sobre a segurança interna do Twitter levantam a possibilidade de criminosos, ativistas, governos hostis ou seus apoiadores que procuram explorar os sistemas e dados de usuários do Twitter recrutando ou chantageando seus funcionários podem representar uma preocupação de segurança nacional.

Pior ainda, as próprias informações do Twitter sobre seus usuários, seus interesses e com quem eles seguem e interagem na plataforma podem facilitar o direcionamento para campanhas de desinformação, chantagem ou outros fins nefastos.

Essa segmentação estrangeira de empresas proeminentes e seus funcionários tem sido uma grande preocupação de contra-inteligência na comunidade de segurança nacional por décadas.

Cair

logotipo do twitter na tela com tweetdeck
Imagem: Marketing Land

Qualquer que seja o resultado da reclamação de Zatko no Congresso, na SEC ou em outras agências federais, ela já faz parte dos últimos registros legais de Musk enquanto ele tenta desistir de sua compra do Twitter.

Idealmente, à luz dessas divulgações, o Twitter tomará medidas corretivas para melhorar os sistemas e práticas de segurança cibernética da empresa.

Um bom primeiro passo que a empresa pode dar é revisar e limitar quem tem acesso root aos seus sistemas, código-fonte e dados do usuário ao número mínimo necessário.

A empresa também deve garantir que seus sistemas de produção sejam mantidos atualizados e que esteja efetivamente preparada para enfrentar qualquer tipo de situação de emergência sem interromper significativamente suas operações globais.

De uma perspectiva mais ampla, a reclamação de Zatko ressalta o papel crítico e às vezes desconfortável que a segurança cibernética desempenha nas organizações modernas.

Profissionais de segurança cibernética como Zatko entendem que nenhuma empresa ou agência governamental gosta de publicidade para problemas de segurança cibernética.

Eles tendem a pensar muito sobre se e como levantar preocupações de segurança cibernética como essas – e quais podem ser as possíveis ramificações.

Nesse caso, Zatko diz que suas divulgações refletem “o trabalho para o qual foi contratado” como chefe de segurança de uma plataforma de mídia social que, segundo ele, “é fundamental para a democracia”.

Para empresas como o Twitter, notícias ruins sobre segurança cibernética geralmente resultam em um pesadelo de relações públicas que pode afetar o preço das ações e sua posição no mercado, além de atrair o interesse de reguladores e legisladores.

Para os governos, tais revelações podem levar à falta de confiança nas instituições criadas para servir à sociedade, além de potencialmente criar ruído político perturbador.

Infelizmente, como os problemas de segurança cibernética são descobertos, divulgados e tratados continua sendo um processo difícil e às vezes controverso, sem solução fácil tanto para os profissionais de segurança cibernética quanto para as organizações de hoje.

Tem alguma opinião sobre isso? Leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

  • Instagram e Facebook rastreiam você em outros sites – veja como
  • O que são atualizações de carro over-the-air (OTA)?
  • É por isso que todo mundo odeia essas notificações irritantes de cookies
  • O iPhone completa 15 anos: um olhar sobre o passado, presente e futuro do dispositivo

Nota do Editor: Este artigo foi escrito por Richard Forno, Professor Principal de Ciência da Computação e Engenharia Elétrica, Universidade de Maryland, Condado de Baltimore , e republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.