Твиттер ставит под угрозу безопасность своих пользователей?

Опубликовано: 2022-09-03

Бывший начальник службы безопасности Twitter Пайтер «Мадж» Затко в июле 2022 года подал жалобу на разоблачителя в Комиссию по ценным бумагам и биржам, обвинив компанию-платформу микроблогов в серьезных недостатках безопасности.

Обвинения усилили продолжающуюся драму потенциальной продажи Twitter Илону Маску.

Затко провел десятилетия в качестве этического хакера, частного исследователя, правительственного советника и руководителя некоторых из самых известных интернет-компаний и государственных учреждений.

Он практически легенда индустрии кибербезопасности. Из-за его репутации, когда он говорит, люди и правительства обычно его слушают, что подчеркивает серьезность его претензий к Твиттеру.

ПРОЧИТАЙТЕ БОЛЬШЕ: иск FTC подвергает серьезную угрозу конфиденциальности, и это вина вашего телефона

Как бывший специалист в области кибербезопасности, а нынешний исследователь в области кибербезопасности, я считаю, что самые разоблачающие обвинения Затко связаны с предполагаемой неспособностью Twitter иметь надежный план кибербезопасности для защиты пользовательских данных, развертывания внутреннего контроля для защиты от внутренних угроз и обеспечения актуальности и исправности систем компании. корректно обновляется.

Затко также утверждал, что руководители Twitter были менее чем откровенны в отношении инцидентов кибербезопасности на платформе, когда информировали регулирующие органы и совет директоров компании.

Он утверждал, что Twitter уделяет первостепенное внимание росту пользователей, а не сокращению спама и другого нежелательного контента, который отравляет платформу и отвлекает пользователей.

В его жалобе также выражается озабоченность по поводу деловой практики компании.

Предполагаемые сбои в системе безопасности

Утверждения Затко рисуют тревожную картину не только состояния кибербезопасности Twitter как платформы социальных сетей, но и осознания безопасности Twitter как компании.

Оба пункта актуальны, учитывая позицию Twitter в глобальных коммуникациях и продолжающуюся борьбу с онлайн-экстремизмом и дезинформацией.

Возможно, наиболее важным из утверждений Затко является его заявление о том, что почти половина сотрудников Twitter имеет прямой доступ к пользовательским данным и исходному коду Twitter.

Проверенные временем методы кибербезопасности не позволяют стольким людям с таким уровнем «корневых» или «привилегированных» разрешений получать доступ к конфиденциальным системам и данным.

Если это правда, это означает, что Twitter может быть готов к эксплуатации либо изнутри, либо внешними злоумышленниками при поддержке людей внутри, которые, возможно, не были должным образом проверены.

Затко также утверждает, что центры обработки данных Twitter могут быть не такими безопасными, отказоустойчивыми или надежными, как утверждает компания.

По его оценкам, почти половина из 500 000 серверов Twitter по всему миру не имеют базовых средств контроля безопасности, таких как запуск обновленного программного обеспечения, поддерживаемого поставщиком, или шифрование пользовательских данных, хранящихся на них.

Он также отметил, что отсутствие у компании надежного плана обеспечения непрерывности бизнеса означает, что в случае выхода из строя нескольких ее центров обработки данных из-за киберинцидентов или других бедствий это может привести к «событию прекращения существования компании».

Это лишь некоторые утверждения, содержащиеся в жалобе Затко. Если его утверждения верны, Twitter провалил Cybersecurity 101.

Опасения по поводу вмешательства иностранного правительства

логотип твиттера на размытом фоне
Изображение: KnowTechie

Утверждения Затко также могут представлять угрозу для национальной безопасности.

Twitter использовался для распространения дезинформации и пропаганды в последние годы во время глобальных событий, таких как пандемия и национальные выборы.

Например, в отчете Затко говорилось, что правительство Индии вынудило Twitter нанять правительственных агентов, которые имели бы доступ к огромному количеству конфиденциальных данных Twitter.

В ответ иногда враждебно настроенный к Индии сосед Пакистан обвинил Индию в попытке проникнуть в систему безопасности Twitter, «чтобы ограничить основные свободы».

Учитывая глобальное присутствие Twitter как коммуникационной платформы, другие страны, такие как Россия и Китай, могут потребовать, чтобы компания наняла собственных правительственных агентов в качестве условия, позволяющего компании работать в их стране.

Утверждения Затко о внутренней безопасности Twitter повышают вероятность того, что преступники, активисты, враждебно настроенные правительства или их сторонники, пытающиеся использовать системы Twitter и пользовательские данные путем вербовки или шантажа его сотрудников, вполне могут представлять угрозу национальной безопасности.

Хуже того, собственная информация Twitter о своих пользователях, их интересах, а также о том, с кем они следят и с кем взаимодействуют на платформе, может облегчить нацеливание на кампании по дезинформации, шантаж или другие гнусные цели.

Такие иностранные нападения на известные компании и их сотрудников десятилетиями вызывали серьезное беспокойство у контрразведки в сообществе национальной безопасности.

Выпадать

логотип твиттера на экране с твитдеком
Изображение: маркетинговая земля

Каким бы ни был исход жалобы Затко в Конгресс, Комиссию по ценным бумагам и биржам или другие федеральные агентства, она уже является частью последних юридических документов Маска, когда он пытается отказаться от покупки Twitter.

В идеале, в свете этих раскрытий, Twitter предпримет корректирующие действия для улучшения систем и методов кибербезопасности компании.

Хорошим первым шагом, который может сделать компания, является проверка и ограничение прав root-доступа к ее системам, исходному коду и пользовательским данным до минимально необходимого количества.

Компания также должна обеспечить актуальность своих производственных систем и эффективную готовность к любым чрезвычайным ситуациям без существенного нарушения своей глобальной деятельности.

С более широкой точки зрения жалоба Затко подчеркивает критическую и порой неудобную роль кибербезопасности в современных организациях.

Специалисты по кибербезопасности, такие как Затко, понимают, что ни одна компания или государственное учреждение не любит огласки проблем кибербезопасности.

Они, как правило, долго и упорно думают о том, стоит ли и как поднимать подобные проблемы кибербезопасности, и каковы могут быть потенциальные последствия.

В данном случае Затко говорит, что его разоблачения отражают «работу, для которой он был нанят» в качестве главы службы безопасности платформы социальных сетей, которая, по его словам, «критически важна для демократии».

Для таких компаний, как Twitter, плохие новости о кибербезопасности часто становятся кошмаром для связей с общественностью, что может повлиять на цену акций и их положение на рынке, не говоря уже о привлечении внимания регулирующих органов и законодателей.

Для правительств такие разоблачения могут привести к отсутствию доверия к институтам, созданным для служения обществу, в дополнение к потенциальному созданию отвлекающего политического шума.

К сожалению, то, как обнаруживаются, раскрываются и решаются проблемы кибербезопасности, остается сложным, а иногда и противоречивым процессом, не имеющим простого решения как для специалистов по кибербезопасности, так и для современных организаций.

Есть какие-нибудь мысли по этому поводу? Перенесите обсуждение в наш Twitter или Facebook.

Рекомендации редакции:

  • Instagram и Facebook отслеживают вас на других сайтах — вот как
  • Что такое беспроводные (OTA) автомобильные обновления?
  • Вот почему все ненавидят эти надоедливые уведомления о файлах cookie
  • iPhone исполняется 15 лет: взгляд на прошлое, настоящее и будущее устройства

Примечание редактора: эта статья была написана Ричардом Форно, главным преподавателем компьютерных наук и электротехники Университета Мэриленда, округ Балтимор , и переиздана из The Conversation под лицензией Creative Commons. Прочитайте оригинальную статью.