Twitter ทำให้ความปลอดภัยของผู้ใช้ตกอยู่ในความเสี่ยงหรือไม่?

เผยแพร่แล้ว: 2022-09-03

Peiter “Mudge” Zatko อดีตหัวหน้าฝ่ายรักษาความปลอดภัยของ Twitter ได้ยื่นเรื่องร้องเรียนต่อคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ในเดือนกรกฎาคม พ.ศ. 2565 โดยกล่าวหาว่าบริษัทแพลตฟอร์มไมโครบล็อกมีปัญหาเรื่องความปลอดภัยอย่างร้ายแรง

ข้อกล่าวหาดังกล่าวขยายความต่อเนื่องของการขาย Twitter ให้กับ Elon Musk

Zatko ใช้เวลาหลายสิบปีในฐานะแฮ็กเกอร์ที่มีจริยธรรม นักวิจัยส่วนตัว ที่ปรึกษารัฐบาล และผู้บริหารของบริษัทอินเทอร์เน็ตและหน่วยงานราชการที่มีชื่อเสียงที่สุดบางแห่ง

เขาเป็นตำนานในอุตสาหกรรมความปลอดภัยทางไซเบอร์ เนื่องจากชื่อเสียงของเขา เมื่อเขาพูด ผู้คนและรัฐบาลมักจะฟัง ซึ่งเน้นย้ำถึงความจริงจังของการร้องเรียนของเขาต่อ Twitter

อ่านเพิ่มเติม: คดี FTC ทำให้เกิดความเสี่ยงด้านความเป็นส่วนตัวและเป็นความผิดของโทรศัพท์ของคุณ

ในฐานะอดีตผู้ปฏิบัติงานในอุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์และนักวิจัยด้านความปลอดภัยทางไซเบอร์ในปัจจุบัน ฉันเชื่อว่าข้อกล่าวหาที่น่าสยดสยองที่สุดของ Zatko เกี่ยวกับความล้มเหลวของ Twitter ในการมีแผนความปลอดภัยทางไซเบอร์ที่แข็งแกร่งเพื่อปกป้องข้อมูลผู้ใช้ ปรับใช้การควบคุมภายในเพื่อป้องกันภัยคุกคามภายใน และทำให้มั่นใจว่าระบบของบริษัทเป็นปัจจุบันและ ปรับปรุงอย่างถูกต้อง

Zatko ยังกล่าวหาว่าผู้บริหารของ Twitter ไม่ค่อยเตรียมพร้อมเกี่ยวกับเหตุการณ์ด้านความปลอดภัยในโลกไซเบอร์บนแพลตฟอร์มเมื่อบรรยายสรุปทั้งหน่วยงานกำกับดูแลและคณะกรรมการ บริษัท

เขาอ้างว่า Twitter ให้ความสำคัญกับการเติบโตของผู้ใช้มากกว่าการลดสแปมและเนื้อหาที่ไม่ต้องการอื่น ๆ ที่ทำให้แพลตฟอร์มเป็นพิษและเบี่ยงเบนจากประสบการณ์ของผู้ใช้

การร้องเรียนของเขายังแสดงความกังวลเกี่ยวกับการดำเนินธุรกิจของบริษัทอีกด้วย

ถูกกล่าวหาว่าล้มเหลวในการรักษาความปลอดภัย

ข้อกล่าวหาของ Zatko ไม่ได้เป็นเพียงภาพที่น่าวิตกเกี่ยวกับสถานะการรักษาความปลอดภัยทางไซเบอร์ของ Twitter ในฐานะแพลตฟอร์มโซเชียลมีเดีย แต่ยังรวมถึงจิตสำนึกด้านความปลอดภัยของ Twitter ในฐานะบริษัทด้วย

ทั้งสองประเด็นมีความเกี่ยวข้องกันเมื่อพิจารณาจากตำแหน่งของ Twitter ในการสื่อสารทั่วโลก และการต่อสู้กับลัทธิหัวรุนแรงและการบิดเบือนข้อมูลทางออนไลน์อย่างต่อเนื่อง

บางทีข้อกล่าวหาที่สำคัญที่สุดของ Zatko ก็คือการอ้างว่าพนักงานของ Twitter เกือบครึ่งสามารถเข้าถึงข้อมูลผู้ใช้และซอร์สโค้ดของ Twitter ได้โดยตรง

แนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ผ่านการทดสอบตามเวลาไม่อนุญาตให้ผู้คนจำนวนมากที่มีสิทธิ์ "รูท" หรือ "สิทธิพิเศษ" ระดับนี้เข้าถึงระบบและข้อมูลที่มีความละเอียดอ่อน

หากเป็นจริง แสดงว่า Twitter อาจสุกงอมสำหรับการแสวงหาผลประโยชน์จากภายในหรือโดยฝ่ายตรงข้ามภายนอกซึ่งได้รับความช่วยเหลือจากคนที่อยู่ภายในที่อาจไม่ได้รับการตรวจสอบอย่างเหมาะสม

Zatko ยังอ้างว่าศูนย์ข้อมูลของ Twitter อาจไม่ปลอดภัย ยืดหยุ่น หรือเชื่อถือได้อย่างที่บริษัทอ้าง

เขาคาดว่าเกือบครึ่งหนึ่งของเซิร์ฟเวอร์ 500,000 เซิร์ฟเวอร์ของ Twitter ทั่วโลกขาดการควบคุมความปลอดภัยขั้นพื้นฐาน เช่น การรันซอฟต์แวร์ที่ทันสมัยและสนับสนุนจากผู้ขาย หรือการเข้ารหัสข้อมูลผู้ใช้ที่จัดเก็บไว้ในเซิร์ฟเวอร์

นอกจากนี้ เขายังตั้งข้อสังเกตอีกว่าบริษัทขาดแผนความต่อเนื่องทางธุรกิจที่แข็งแกร่ง หมายความว่าหากศูนย์ข้อมูลหลายแห่งของบริษัทล้มเหลวเนื่องจากเหตุการณ์ทางไซเบอร์หรือภัยพิบัติอื่นๆ อาจนำไปสู่ ​​"เหตุการณ์สิ้นสุดของบริษัทที่มีอยู่จริง"

นี่เป็นเพียงการอ้างสิทธิ์บางส่วนในการร้องเรียนของ Zatko หากข้อกล่าวหาของเขาเป็นจริง Twitter ล้มเหลวใน Cybersecurity 101

ความกังวลเกี่ยวกับการแทรกแซงของรัฐบาลต่างประเทศ

โลโก้ทวิตเตอร์บนพื้นหลังเบลอ
ภาพ: KnowTechie

ข้อกล่าวหาของ Zatko อาจก่อให้เกิดความกังวลด้านความมั่นคงของชาติ

ในช่วงไม่กี่ปีที่ผ่านมามีการใช้ Twitter เพื่อเผยแพร่ข้อมูลที่บิดเบือนและโฆษณาชวนเชื่อในช่วงเหตุการณ์ระดับโลก เช่น การระบาดใหญ่และการเลือกตั้งระดับประเทศ

ตัวอย่างเช่น รายงานของ Zatko ระบุว่ารัฐบาลอินเดียบังคับให้ Twitter จ้างตัวแทนของรัฐบาล ซึ่งจะสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของ Twitter ได้จำนวนมหาศาล

ในการตอบสนอง ปากีสถานเพื่อนบ้านที่เป็นศัตรูของอินเดียกล่าวหาอินเดียว่าพยายามแทรกซึมระบบรักษาความปลอดภัยของ Twitter “ในความพยายามที่จะควบคุมเสรีภาพขั้นพื้นฐาน”

เมื่อพิจารณาจากรอยเท้าทั่วโลกของ Twitter ในฐานะแพลตฟอร์มการสื่อสาร ประเทศอื่นๆ เช่น รัสเซียและจีน อาจกำหนดให้บริษัทต้องจ้างตัวแทนรัฐบาลของตนเอง โดยมีเงื่อนไขว่าบริษัทจะดำเนินงานในประเทศของตนได้

ข้อกล่าวหาของ Zatko เกี่ยวกับความปลอดภัยภายในของ Twitter ทำให้เกิดความเป็นไปได้ที่อาชญากร นักเคลื่อนไหว รัฐบาลที่เป็นศัตรู หรือผู้สนับสนุนของพวกเขาที่แสวงหาประโยชน์จากระบบของ Twitter และข้อมูลผู้ใช้โดยการสรรหาหรือแบล็กเมล์พนักงานอาจก่อให้เกิดปัญหาด้านความมั่นคงแห่งชาติ

ที่แย่ไปกว่านั้น ข้อมูลของ Twitter เกี่ยวกับผู้ใช้ ความสนใจของพวกเขา และบุคคลที่พวกเขาติดตามและโต้ตอบด้วยบนแพลตฟอร์มสามารถอำนวยความสะดวกในการกำหนดเป้าหมายสำหรับแคมเปญบิดเบือนข้อมูล แบล็กเมล์ หรือวัตถุประสงค์ที่ชั่วร้ายอื่นๆ

การกำหนดเป้าหมายจากต่างประเทศไปยังบริษัทที่มีชื่อเสียงและพนักงานของพวกเขาเป็นความกังวลหลักในการต่อต้านข่าวกรองในชุมชนความมั่นคงแห่งชาติมานานหลายทศวรรษ

ผลกระทบ

โลโก้ twitter บนหน้าจอพร้อม tweetdeck
ภาพ: ที่ดินการตลาด

ไม่ว่าผลการร้องเรียนของ Zatko ในสภาคองเกรส ก.ล.ต. หรือหน่วยงานรัฐบาลกลางอื่นๆ จะออกมาเป็นอย่างไร มันเป็นส่วนหนึ่งของการยื่นฟ้องทางกฎหมายล่าสุดของ Musk ในขณะที่เขาพยายามเลิกซื้อ Twitter

ตามการเปิดเผยเหล่านี้ Twitter จะดำเนินการแก้ไขเพื่อปรับปรุงระบบและแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของบริษัท

ขั้นตอนแรกที่ดีที่บริษัทสามารถทำได้คือการตรวจสอบและจำกัดผู้ที่มีสิทธิ์เข้าถึงรากของระบบ ซอร์สโค้ด และข้อมูลผู้ใช้เป็นจำนวนขั้นต่ำที่จำเป็น

บริษัทควรตรวจสอบให้แน่ใจด้วยว่าระบบการผลิตของตนได้รับการปรับปรุงให้เป็นปัจจุบันและมีการเตรียมพร้อมอย่างมีประสิทธิภาพเพื่อรับมือกับสถานการณ์ฉุกเฉินทุกประเภทโดยไม่กระทบต่อการดำเนินงานทั่วโลกอย่างมีนัยสำคัญ

จากมุมมองที่กว้างขึ้น การร้องเรียนของ Zatko เน้นย้ำถึงบทบาทการรักษาความปลอดภัยทางไซเบอร์ที่สำคัญและไม่สบายใจในบางครั้งในองค์กรสมัยใหม่

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์อย่าง Zatko เข้าใจดีว่าไม่มีบริษัทหรือหน่วยงานของรัฐใดที่ชอบการประชาสัมพันธ์ปัญหาความปลอดภัยทางไซเบอร์

พวกเขามักจะครุ่นคิดอย่างถี่ถ้วนและถี่ถ้วนว่าควรแจ้งข้อกังวลด้านความปลอดภัยในโลกไซเบอร์เช่นนี้อย่างไรและอย่างไร และจะขยายสาขาออกไปอย่างไร

ในกรณีนี้ Zatko กล่าวว่าการเปิดเผยของเขาสะท้อนถึง "งานที่เขาได้รับการว่าจ้างให้ทำ" ในฐานะหัวหน้าฝ่ายรักษาความปลอดภัยสำหรับแพลตฟอร์มโซเชียลมีเดียที่เขากล่าวว่า "มีความสำคัญต่อประชาธิปไตย"

สำหรับบริษัทอย่าง Twitter ข่าวความปลอดภัยทางไซเบอร์ที่ไม่ดีมักส่งผลให้เกิดฝันร้ายของการประชาสัมพันธ์ที่อาจส่งผลกระทบต่อราคาหุ้นและสถานะของพวกเขาในตลาด รวมถึงดึงดูดความสนใจของผู้กำกับดูแลและผู้ร่างกฎหมาย

สำหรับรัฐบาล การเปิดเผยดังกล่าวอาจนำไปสู่การขาดความไว้วางใจในสถาบันที่สร้างขึ้นเพื่อให้บริการสังคม นอกจากจะทำให้เกิดเสียงทางการเมืองที่เบี่ยงเบนความสนใจ

น่าเสียดายที่วิธีการค้นพบ เปิดเผย และจัดการปัญหาความปลอดภัยทางไซเบอร์ยังคงเป็นกระบวนการที่ยากและบางครั้งก็เป็นที่ถกเถียงกัน โดยไม่มีวิธีแก้ปัญหาที่ง่ายสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และองค์กรในปัจจุบัน

มีความคิดเกี่ยวกับเรื่องนี้หรือไม่? ดำเนินการสนทนาไปที่ Twitter หรือ Facebook ของเรา

คำแนะนำของบรรณาธิการ:

  • Instagram และ Facebook ติดตามคุณบนเว็บไซต์อื่น - นี่คือวิธี
  • การอัปเดตรถยนต์แบบ over-the-air (OTA) คืออะไร?
  • นี่คือเหตุผลที่ทุกคนเกลียดการแจ้งเตือนคุกกี้ที่น่ารำคาญเหล่านั้น
  • iPhone อายุครบ 15 ปี: ดูอดีต ปัจจุบัน และอนาคตของอุปกรณ์

หมายเหตุบรรณาธิการ: บทความนี้เขียนขึ้นโดย Richard Forno อาจารย์ใหญ่ด้านวิทยาการคอมพิวเตอร์และวิศวกรรมไฟฟ้า มหาวิทยาลัยแมริแลนด์ บัลติมอร์เคาน์ตี้ และจัดพิมพ์ซ้ำจาก The Conversation ภายใต้สัญญาอนุญาตครีเอทีฟคอมมอนส์ อ่านบทความต้นฉบับ