Quando l'ex CEO di Twitter Jack Dorsey ha assunto Peiter Zatko come capo della sicurezza di Twitter nel 2020, ha pensava che l'hacker trasformato in specialista in sicurezza informatica potesse aiutare l'azienda a migliorare la propria sicurezza postura. Ma due anni dopo, o Peiter non poteva aiutare Twitter o la società non voleva il suo aiuto. È stato licenziato per leadership inefficace e cattiva prestazione, ma Zatko sostiene il contrario.
Ha presentato una denuncia alla Securities and Exchange Commission (SEC), alla Federal Trade Commission (FTC) e al Dipartimento di Giustizia accusando Twitter di ignoranza volontaria e gravi falle di sicurezza.
È una litania di accuse, una più schiacciante dell'altra. Ecco altre rivelazioni dal foglio di imputazione di Zatko contro Twitter.
1. Pericolose vulnerabilità di sicurezza
Tra le accuse più gravi mosse da Zatko contro Twitter c'è che l'azienda fa poco per proteggere i suoi 238 milioni di utenti giornalieri (che includono capi di stato, agenzie governative e personaggi pubblici influenti) contrari hacker.
Sostiene che la metà dei server di Twitter esegue software scaduto e quasi un quarto dei dipendenti ha disabilitato gli aggiornamenti software sui propri sistemi che potrebbero fornire patch di sicurezza essenziali.
Se vero, Twitter potrebbe essere trattenuto in violazione del Accordo del 2011 con la FTCsulla sicurezza dei consumatori. L'accordo richiedeva all'azienda di creare e mantenere un solido modello di sicurezza delle informazioni che doveva essere ispezionato da un revisore indipendente per 10 anni.
2. Accessi interni problematici
Un fattore che rende la piattaforma vulnerabile è l'accesso ad ampio raggio e non necessario che i dipendenti hanno all'ambiente di produzione.
Il signor Zatko afferma che troppi dipendenti, inclusi tutti gli ingegneri e circa la metà della forza lavoro, lavorano direttamente sul prodotto live della piattaforma e accedono ai dati degli utenti effettivi. Questo è inaudito in aziende tecnologiche come Meta e Google in cui gli sviluppatori utilizzano dati fittizi codificare e testare in sandbox specializzate senza intaccare i prodotti principali.
L'accesso scarsamente tracciato al software aziendale principale ha portato a hack imbarazzanti in passato, incluso il sequestro di account utente di alto profilo come Bill Gates, Elon Musk e Joe Biden.
3. Spam ingannevole e conteggio di bot
La divulgazione dell'informatore di Twitter accusa la società di fuorviare gli investitori e il pubblico sulla quantità di spam e bot sulla piattaforma.
In precedenza, Twitter aveva affermato che solo il cinque percento degli account sulla piattaforma sono bot, ma Zatko afferma che il numero reale è molto più alto. Sostiene che l'azienda dia la priorità alla crescita degli utenti rispetto alla riduzione dello spam e che i dirigenti guadagnano bonus per un valore di milioni per aumentare l'attività quotidiana degli utenti.
Questa accusa fornisce abbastanza munizioni per Elon Musk nella sua battaglia legale per ritirarsi da un accordo da 44 miliardi di dollari per acquistare l'azienda.
4. Minacce internazionali
Pieter Zatko afferma che i governi stranieri che ottengono l'accesso alla piattaforma o trovano una leva contro di essa possono causare enormi danni alla sicurezza e agli interessi nazionali degli Stati Uniti. La minaccia non è teorica se si considerano gli incidenti passati e la debole posizione di sicurezza informatica dell'azienda.
Il rapporto afferma che poco prima del licenziamento di Zatko, il governo degli Stati Uniti ha informato Twitter che almeno uno dei suoi dipendenti era un agente di un'agenzia di intelligence straniera. Zatko ritiene inoltre che la società abbia assunto due persone che erano agenti del governo indiano.
Allo stesso modo, Zatko afferma che prima dell'invasione russa dell'Ucraina, Parag Agrawal, che era il CTO di Twitter al tempo, ha proposto di fare concessioni alla Russia per crescere nel paese a costo della censura o sorveglianza.
Questa non è la prima volta che Twitter è stato accusato di aiutare i paesi a censurare o sorvegliare la piattaforma per i benefici monetari. Appena due settimane prima della rivelazione di Zatko, una giuria ha condannato un ex manager di Twitter per spionaggio a favore dell'Arabia Saudita.
Cosa dice Twitter sulle accuse?
Il rapporto di Zatko contiene dozzine di gravi accuse contro gli illeciti di Twitter, tra cui vulnerabilità di sicurezza, scarsi controlli di accesso, misurazione fuorviante di spam e account bot e di più.
Ma il vicepresidente delle comunicazioni dell'azienda, Rebecca Hahn, ha detto Il Washington Post che la divulgazione di Zatko manca di "contesto importante". Hahn ritiene che "le accuse e il tempismo opportunistico appaiano progettati per catturare l'attenzione e infliggere danni a Twitter" e che "la sicurezza e la privacy sono state a lungo priorità dell'intera azienda".
Agrawal ha anche negato le accuse contro Twitter e l'ha definita "una falsa narrativa piena di incongruenze e imprecisioni." In una nota ai dipendenti, ha sottolineato che l'azienda perseguirà tutte le strade per difendere la propria integrità e stabilire il record dritto.
Cosa possiamo imparare dall'informatore di Twitter?
È importante sottolineare che tutti dobbiamo essere consapevoli del fatto che non possiamo fare affidamento esclusivamente su altre parti per mantenerci al sicuro online. Twitter può lasciare o meno i suoi utenti aperti agli hacker, ma alla fine ognuno di noi deve assumersi la propria responsabilità quali dati consegniamo all'azienda e, in effetti, a qualsiasi organizzazione che richieda più informazioni personali di quante ne siano necessario.
