Óriási biztonsági rések tátonganak a Twitteren

Rendkívül terhelő információkat hozott nyilvánosságra a Twitter egykori biztonsági vezetője, Peiter „Mudge” Zatko, s ezeket több szövetségi ügynökséggel és a kongresszussal is megosztotta – tudta meg a CNN.

Zatko a múlt hónapban szivárogtatta ki az információkat, és a mintegy 200 oldalas dokumentum nem fest hízelgő képet a vállalatról. Zatko azután került a vállalathoz, hogy támadók feltörték sok híresség, köztük Barack Obama, Joe Biden, Kim Kardashian vagy épp Elon Musk fiókját. A korábban a Google, a Stripe és épp az amerikai hadügyminisztérium számára is dolgozó szakértőt ekkor vette fel Jack Dorsey, aki ekkoriban vezette a céget.

Idén januárban azonban már el is váltak Zatko és a Twitter útjai, miután a biztonsági vezető nem igazán jött ki jól a Dorsey-t követő Parag Agrawallal.

Zatko érkezése után egy biztonsági szempontból rendkívül gyengén működő céggel találkozott, ahol a dolgozók fele, több ezer ember fért hozzá kritikus fontosságú adatokhoz és beállításokhoz. Ez egyebek között adatvédelmi, de akár nemzetbiztonsági kockázatokat is magában rejt az egykori vezető szerint. A szivárogtatás is igyekszik némiképp felmenteni Dorsey-t, bár azt elismeri, hogy megbízatása végén nem nagyon törődött már a céggel az ekkoriban már bitcoinevangélistává váló vezérigazgató.

Ezzel szemben Agrawal arra kérte Zatkót, hogy a cég felügyelőbizottsága elől titkolja el a hiányosságok valós mértékét. Kifogásolja az egykori kiberbiztonsági főnök azt is, hogy a cég félmillió szerverének a fele elavult szoftverekkel működik, de szerinte a fejlesztők beavatkozásainak naplózása sem megfelelő.

A fiókok törlése során sem biztos, hogy a felhasználók adatai valóban törlődnek a kaotikus folyamatok miatt.

Ráadásul a Twitter problémái már fennálltak Zatko érkezésekor, s már 2010-ben is kipattantak hiányosságok, amelyre válaszul 2011-ben született megállapodás a Szövetségi Kereskedelmi Bizottság (FTC) és a vállalat között, ám a cég ennek betartására sem volt képes. Ugyanakkor a szakember ténykedését a Twitternél ismerő forrás szerint több kérdésben végzett a cég belső vizsgálatot, míg Zatko félreértette az FTC-vel kötött megállapodást. A bizottság és a cég megállapodásának betartását firtató vizsgálatok sem tártak fel hiányosságot.

A Twitter különösen sérülékeny a külföldi kémek tevékenységével szemben a fenti hiányosságok miatt, de az amerikai kormány arról is értesítette a vállalatot, hogy egy külföldi titkosszolgálat emberét is sikerült a cégnek felvennie. Alig két hete a Twitter egyik vezetőjét le is tartóztatták azzal, hogy a szaúdi titkosszolgálatnak dolgozik. Szaúdi befektetők egyébként jelentős tulajdonrészt birtokolnak a vállalatból, mint arra Elon Musk is rádöbbent.

A Tesla-vezér elállását a cég megvásárlásától lehetséges, hogy segíti a mostani szivárogtatás, hiszen Zatko arról is tett közzé információkat, hogy a Twitter igazából nem szeretné tudni a botok valódi számát, amelyet egyébként valóban rendkívül nehéz lehet megállapítani. Ugyanakkor a Zatko az őt képviselő Whistleblower Aid szerint – amely a Facebookról kitálaló Frances Haugent is reprezentálja – nem áll kapcsolatban Muskkal, és a szivárogtatás gondolata is hamarabb indult, mint az a gondolat, hogy Musk megvenné a Twittert.

(origo.hu)