Își pune Twitter în pericol securitatea utilizatorilor săi?

Fostul șef al securității Twitter, Peiter „Mudge” Zatko, a depus o plângere la Securities and Exchange Commission în iulie 2022, acuzând compania de platforme de microblogging de deficiențe grave de securitate.

Acuzațiile au amplificat drama în desfășurare a potențialei vânzări a Twitter către Elon Musk.

Zatko a petrecut decenii ca hacker etic, cercetător privat, consilier guvernamental și director executiv la unele dintre cele mai importante companii de internet și birouri guvernamentale.

El este practic o legendă în industria securității cibernetice. Datorită reputației sale, atunci când vorbește, oamenii și guvernele ascultă în mod normal – ceea ce subliniază gravitatea plângerii sale împotriva Twitter.

CITEȘTE MAI MULT: Procesul FTC expune un risc major de confidențialitate și este vina telefonului tău

În calitate de fost practicant în industria securității cibernetice și actual cercetător în domeniul securității cibernetice, cred că cele mai condamnatoare acuzații ale lui Zatko se concentrează pe presupusul eșec al Twitter de a avea un plan solid de securitate cibernetică pentru a proteja datele utilizatorilor, a implementa controale interne pentru a se proteja împotriva amenințărilor interne și a se asigura că sistemele companiei sunt actuale și actuale. actualizat corespunzător.

Zatko a susținut, de asemenea, că directorii Twitter au fost mai puțin receptivi cu privire la incidentele de securitate cibernetică de pe platformă atunci când au informat atât autoritățile de reglementare, cât și consiliul de administrație al companiei.

El a susținut că Twitter a dat prioritate creșterii utilizatorilor în detrimentul reducerii spam-ului și a altor conținuturi nedorite care au otrăvit platforma și au afectat experiența utilizatorului.

Plângerea sa a exprimat, de asemenea, îngrijorări cu privire la practicile de afaceri ale companiei.

Presupuse erori de securitate

Afirmațiile lui Zatko descriu o imagine tulburătoare nu numai a stării securității cibernetice a Twitter ca platformă de socializare, ci și a conștiinței de securitate a Twitter ca companie.

Ambele puncte sunt relevante, având în vedere poziția Twitter în comunicațiile globale și lupta continuă împotriva extremismului și dezinformarii online.

Poate cea mai semnificativă dintre acuzațiile lui Zatko este afirmația sa că aproape jumătate dintre angajații Twitter au acces direct la datele utilizatorilor și la codul sursă al Twitter.

Practicile de securitate cibernetică testate în timp nu permit atâtor persoane cu acest nivel de permisiune „rădăcină” sau „privilegiată” să acceseze sisteme și date sensibile.

Dacă este adevărat, asta înseamnă că Twitter ar putea fi pregătit pentru exploatare fie din interior, fie de către adversari externi, asistați de oameni din interior care ar putea să nu fi fost verificați în mod corespunzător.

Zatko susține, de asemenea, că centrele de date ale Twitter ar putea să nu fie la fel de sigure, rezistente sau de încredere precum susține compania.

El a estimat că aproape jumătate din cele 500.000 de servere Twitter din întreaga lume nu dispun de controale de securitate de bază, cum ar fi rularea de software actualizat și susținut de furnizor sau criptarea datelor utilizatorilor stocate pe ele.

El a remarcat, de asemenea, că lipsa unui plan robust de continuitate a afacerii înseamnă că, în cazul în care mai multe dintre centrele sale de date eșuează din cauza unui incident cibernetic sau a unui alt dezastru, ar putea duce la un „eveniment existențial de încheiere a companiei”.

Acestea sunt doar câteva dintre afirmațiile făcute în plângerea lui Zatko. Dacă acuzațiile sale sunt adevărate, Twitter a eșuat Cybersecurity 101.

Preocupări legate de interferența guvernului străin

Acuzațiile lui Zatko ar putea prezenta și o problemă de securitate națională.

Twitter a fost folosit pentru a răspândi dezinformare și propagandă în ultimii ani în timpul evenimentelor globale precum pandemia și alegerile naționale.

De exemplu, raportul lui Zatko a afirmat că guvernul indian a forțat Twitter să angajeze agenți guvernamentali, care ar avea acces la cantități mari de date sensibile ale Twitter.

Ca răspuns, Pakistanul, vecinul uneori ostil al Indiei, a acuzat India că încearcă să se infiltreze în sistemul de securitate Twitter „într-un efort de a reduce libertățile fundamentale”.

Având în vedere amprenta globală a Twitter ca platformă de comunicații, alte națiuni precum Rusia și China ar putea cere companiei să-și angajeze proprii agenți guvernamentali ca o condiție pentru a permite companiei să opereze în țara lor.

Afirmațiile lui Zatko cu privire la securitatea internă a Twitter ridică posibilitatea ca infractorii, activiștii, guvernele ostile sau susținătorii acestora să caute să exploateze sistemele Twitter și datele utilizatorilor prin recrutarea sau șantajarea angajaților săi pot prezenta o problemă de securitate națională.

Mai rău, informațiile proprii Twitter despre utilizatorii săi, interesele lor și cu cine urmăresc și interacționează pe platformă ar putea facilita direcționarea pentru campanii de dezinformare, șantaj sau alte scopuri nefaste.

O astfel de țintire străină a companiilor proeminente și a angajaților acestora a reprezentat de zeci de ani o preocupare majoră în domeniul contrainformațiilor în comunitatea de securitate națională.

Cade afară

Indiferent de rezultatul plângerii lui Zatko în Congres, SEC sau alte agenții federale, aceasta face deja parte din ultimele dosare legale ale lui Musk, în timp ce acesta încearcă să renunțe la achiziționarea Twitter.

În mod ideal, în lumina acestor dezvăluiri, Twitter va lua măsuri corective pentru a îmbunătăți sistemele și practicile de securitate cibernetică ale companiei.

Un prim pas bun pe care compania l-ar putea face este să revizuiască și să limiteze cine are acces root la sistemele sale, codul sursă și datele utilizatorului la numărul minim necesar.

De asemenea, compania ar trebui să se asigure că sistemele sale de producție sunt menținute la zi și că este pregătită în mod eficient să facă față oricărui tip de situație de urgență fără a perturba semnificativ operațiunile sale globale.

Dintr-o perspectivă mai largă, plângerea lui Zatko subliniază rolul critic și uneori inconfortabil pe care îl joacă securitatea cibernetică în organizațiile moderne.

Profesioniștii în securitate cibernetică precum Zatko înțeleg că nicio companie sau agenție guvernamentală nu îi place publicitatea pentru problemele de securitate cibernetică.

Ei tind să se gândească îndelung dacă și cum să ridice probleme de securitate cibernetică ca acestea – și care ar putea fi ramificațiile potențiale.

În acest caz, Zatko spune că dezvăluirile sale reflectă „slujba pentru care a fost angajat” ca șef al securității pentru o platformă de socializare despre care spune că „este esențială pentru democrație”.

Pentru companii precum Twitter, știrile proaste privind securitatea cibernetică duc adesea la un coșmar de relații publice care ar putea afecta prețul acțiunilor și poziționarea lor pe piață, ca să nu mai vorbim de a atrage interesul autorităților de reglementare și a legiuitorilor.

Pentru guverne, astfel de dezvăluiri pot duce la o lipsă de încredere în instituțiile create pentru a servi societatea, pe lângă faptul că pot crea zgomot politic care distrag atenția.

Din păcate, modul în care sunt descoperite, dezvăluite și gestionate problemele de securitate cibernetică rămâne un proces dificil și uneori controversat, fără o soluție ușoară atât pentru profesioniștii în securitate cibernetică, cât și pentru organizațiile de astăzi.

Ai vreo părere despre asta? Transmite discuția pe Twitter sau Facebook.

Recomandările editorilor:

• Instagram și Facebook vă urmăresc pe alte site-uri web – iată cum
• Ce sunt actualizările mașinii prin aer (OTA)?
• Iată de ce toată lumea urăște acele notificări enervante de cookie-uri
• iPhone-ul împlinește 15 ani: O privire asupra trecutului, prezentului și viitorului dispozitivului

Nota editorului: Acest articol a fost scris de Richard Forno, lector principal în informatică și inginerie electrică, Universitatea din Maryland, județul Baltimore și a fost republicat din The Conversation sub o licență Creative Commons. Citiți articolul original.