Twitter, kullanıcılarının güvenliğini riske atıyor mu?

Yayınlanan: 2022-09-03

Twitter'ın eski güvenlik şefi Peiter “Mudge” Zatko, Temmuz 2022'de Menkul Kıymetler ve Borsa Komisyonu'na mikroblog platformu şirketini ciddi güvenlik hatalarıyla suçlayarak bir ihbar şikayetinde bulundu.

Suçlamalar, Twitter'ın Elon Musk'a potansiyel satışının devam eden dramasını güçlendirdi.

Zatko, onlarca yılını en önde gelen internet şirketlerinden ve devlet dairelerinden bazılarında etik bir hacker, özel araştırmacı, devlet danışmanı ve yönetici olarak geçirdi.

Siber güvenlik endüstrisinde pratikte bir efsanedir. Şöhretinden dolayı, konuştuğunda insanlar ve hükümetler normalde dinler - bu da Twitter'a karşı şikayetinin ciddiyetinin altını çizer.

DAHA FAZLA OKUYUN: FTC davası, büyük gizlilik riskini ortaya çıkarır ve bu, telefonunuzun hatasıdır

Eski bir siber güvenlik sektörü uygulayıcısı ve mevcut siber güvenlik araştırmacısı olarak, Zatko'nun en ağır suçlamalarının Twitter'ın kullanıcı verilerini korumak, içeriden gelen tehditlere karşı korunmak için dahili kontroller kurmak ve şirketin sistemlerinin güncel ve güvenilir olmasını sağlamak için sağlam bir siber güvenlik planına sahip olmadığı iddiası etrafında odaklandığına inanıyorum. uygun şekilde güncellendi.

Zatko ayrıca, Twitter yöneticilerinin hem düzenleyicilere hem de şirketin yönetim kuruluna bilgi verirken platformdaki siber güvenlik olayları hakkında daha az bilgi sahibi olduklarını iddia etti.

Twitter'ın, platformu zehirleyen ve kullanıcı deneyiminden uzaklaşan spam ve diğer istenmeyen içerikleri azaltmak yerine kullanıcı büyümesine öncelik verdiğini iddia etti.

Şikayeti, şirketin ticari uygulamalarıyla ilgili endişelerini de dile getirdi.

İddia edilen güvenlik hataları

Zatko'nun iddiaları, yalnızca bir sosyal medya platformu olarak Twitter'ın siber güvenlik durumunun değil, aynı zamanda bir şirket olarak Twitter'ın güvenlik bilincinin de rahatsız edici bir resmini çiziyor.

Twitter'ın küresel iletişimdeki konumu ve çevrimiçi aşırıcılık ve dezenformasyona karşı süregelen mücadele göz önüne alındığında, her iki nokta da önemlidir.

Zatko'nun iddialarından belki de en önemlisi, Twitter çalışanlarının neredeyse yarısının kullanıcı verilerine ve Twitter'ın kaynak koduna doğrudan erişimi olduğu iddiası.

Zaman içinde test edilmiş siber güvenlik uygulamaları, bu düzeyde "kök" veya "ayrıcalıklı" izne sahip pek çok kişinin hassas sistemlere ve verilere erişmesine izin vermez.

Doğruysa, bu, Twitter'ın içeriden veya içeriden düzgün bir şekilde incelenmemiş olabilecek kişiler tarafından desteklenen dış düşmanlar tarafından sömürülmeye hazır olabileceği anlamına gelir.

Zatko ayrıca Twitter'ın veri merkezlerinin şirketin iddia ettiği kadar güvenli, dayanıklı veya güvenilir olmayabileceğini de iddia ediyor.

Twitter'ın dünya çapındaki 500.000 sunucusunun yaklaşık yarısının, güncel ve satıcı destekli yazılımları çalıştırma veya üzerlerinde depolanan kullanıcı verilerini şifreleme gibi temel güvenlik denetimlerinden yoksun olduğunu tahmin ediyor.

Ayrıca, şirketin sağlam bir iş sürekliliği planına sahip olmamasının, bir siber olay veya başka bir felaket nedeniyle veri merkezlerinin birçoğunun başarısız olması durumunda, bunun "varoluşsal bir şirket kapanış olayına" yol açabileceği anlamına geldiğini belirtti.

Bunlar Zatko'nun şikayetinde öne sürülen iddialardan sadece birkaçı. İddiaları doğruysa, Twitter Cybersecurity 101'de başarısız oldu.

Yabancı devlet müdahalesine ilişkin endişeler

Bulanık arka planda twitter logosu
Resim: KnowTechie

Zatko'nun iddiaları aynı zamanda bir ulusal güvenlik kaygısı da oluşturabilir.

Twitter, son yıllarda pandemi ve ulusal seçimler gibi küresel olaylar sırasında dezenformasyon ve propaganda yaymak için kullanıldı.

Örneğin, Zatko'nun raporu, Hindistan hükümetinin Twitter'ı, Twitter'ın çok büyük miktardaki hassas verilerine erişebilecek devlet ajanlarını işe almaya zorladığını belirtti.

Buna karşılık, Hindistan'ın zaman zaman düşman olan komşusu Pakistan, Hindistan'ı "temel özgürlükleri kısıtlamak amacıyla" Twitter'ın güvenlik sistemine sızmaya çalışmakla suçladı.

Twitter'ın bir iletişim platformu olarak küresel ayak izi göz önüne alındığında, Rusya ve Çin gibi diğer ülkeler, şirketin kendi ülkelerinde faaliyet göstermesine izin vermenin bir koşulu olarak şirketin kendi devlet temsilcilerini kiralamasını gerektirebilir.

Zatko'nun Twitter'ın iç güvenliğine ilişkin iddiaları, suçluların, aktivistlerin, düşman hükümetlerin veya onların destekçilerinin, Twitter'ın sistemlerini ve kullanıcı verilerini, çalışanlarını işe alarak veya şantaj yaparak istismar etme olasılığını artırıyor.

Daha da kötüsü, Twitter'ın kullanıcıları, ilgi alanları ve platformda takip ettikleri ve etkileşimde bulundukları kişiler hakkında kendi bilgileri, dezenformasyon kampanyaları, şantaj veya diğer kötü amaçlar için hedeflemeyi kolaylaştırabilir.

Önde gelen şirketlerin ve çalışanlarının bu şekilde yabancıları hedef alması, ulusal güvenlik camiasında on yıllardır büyük bir karşı istihbarat endişesi olmuştur.

Araları açılmak

tweetdeck ile ekranda twitter logosu
Resim: Pazarlama Alanı

Zatko'nun Kongre'deki, SEC'deki veya diğer federal kurumlardaki şikayetinin sonucu ne olursa olsun, Twitter'ı satın almaktan vazgeçmeye çalışan Musk'ın en son yasal başvurularının bir parçası zaten.

İdeal olarak, bu açıklamalar ışığında Twitter, şirketin siber güvenlik sistemlerini ve uygulamalarını iyileştirmek için düzeltici önlemler alacaktır.

Şirketin atabileceği iyi bir ilk adım, sistemlerine, kaynak koduna ve kullanıcı verilerine kimlerin kök erişimi olduğunu gözden geçirmek ve gereken minimum sayıyla sınırlamaktır.

Şirket ayrıca üretim sistemlerinin güncel tutulmasını ve küresel operasyonlarını önemli ölçüde kesintiye uğratmadan her türlü acil durumla mücadele etmeye etkin bir şekilde hazır olmasını sağlamalıdır.

Daha geniş bir perspektiften bakıldığında, Zatko'nun şikayeti, siber güvenliğin modern organizasyonlarda oynadığı kritik ve bazen rahatsız edici rolün altını çiziyor.

Zatko gibi siber güvenlik uzmanları, hiçbir şirketin veya devlet kurumunun siber güvenlik sorunlarının reklamını yapmaktan hoşlanmadığını biliyor.

Bu gibi siber güvenlik endişelerini dile getirip getirmemeleri ve nasıl gündeme getirebilecekleri ve olası sonuçların neler olabileceği konusunda uzun ve sıkı düşünmeye meyillidirler.

Bu durumda Zatko, açıklamalarının “demokrasi için kritik” olduğunu söylediği bir sosyal medya platformunun güvenlik şefi olarak “yapmak üzere tutulduğu işi” yansıttığını söylüyor.

Twitter gibi şirketler için, kötü siber güvenlik haberleri genellikle, hisse fiyatlarını ve pazardaki konumlarını etkileyebilecek bir halkla ilişkiler kabusu ile sonuçlanır, ayrıca düzenleyicilerin ve yasa koyucuların ilgisini çeker.

Hükümetler için, bu tür ifşaatlar, potansiyel olarak dikkat dağıtıcı siyasi gürültü yaratmanın yanı sıra, topluma hizmet etmek için oluşturulan kurumlara karşı güven eksikliğine yol açabilir.

Ne yazık ki, siber güvenlik sorunlarının nasıl keşfedildiği, ifşa edildiği ve ele alındığı, hem siber güvenlik uzmanları hem de günümüz organizasyonları için kolay bir çözümü olmayan zor ve bazen tartışmalı bir süreç olmaya devam ediyor.

Bu konuda herhangi bir fikriniz var mı? Tartışmayı Twitter veya Facebook sayfamıza taşıyın.

Editörün Önerileri:

  • Instagram ve Facebook sizi diğer web sitelerinde takip ediyor - işte nasıl
  • Kablosuz (OTA) araç güncellemeleri nelerdir?
  • İşte bu yüzden herkes bu sinir bozucu çerez bildirimlerinden nefret ediyor
  • iPhone 15 yaşına giriyor: Cihazın geçmişine, bugününe ve geleceğine bir bakış

Editörün Notu: Bu makale, Maryland Üniversitesi, Baltimore County, Bilgisayar Bilimi ve Elektrik Mühendisliği Baş Öğretim Görevlisi Richard Forno tarafından yazılmıştır ve Creative Commons lisansı altında The Conversation'dan yeniden yayınlanmıştır. Orijinal makaleyi okuyun.