Als der ehemalige Twitter-CEO Jack Dorsey 2020 Peiter Zatko als Twitter-Sicherheitschef einstellte, war er dachte, dass der Hacker, der zum Cybersecurity-Spezialisten wurde, dem Unternehmen helfen könnte, seine Sicherheit zu verbessern Haltung. Doch zwei Jahre später konnte Peiter Twitter entweder nicht helfen oder das Unternehmen wollte seine Hilfe nicht. Er wurde wegen ineffektiver Führung und schlechter Leistung gefeuert, aber Zatko argumentiert anders.
Er reichte eine Beschwerde bei der Securities and Exchange Commission (SEC), der Federal Trade Commission (FTC) und dem Justizministerium ein, in der er Twitter vorsätzlicher Unwissenheit und schwerwiegender Sicherheitsmängel beschuldigte.
Es ist eine Litanei von Anklagen, eine vernichtender als die andere. Hier sind weitere Enthüllungen aus Zatkos Anklageschrift gegen Twitter.
1. Gefährliche Sicherheitslücken
Zu den schwerwiegendsten Vorwürfen, die Zatko gegen Twitter erhoben hat, gehört, dass das Unternehmen wenig unternimmt, um seine 238 zu schützen Millionen täglicher Nutzer (darunter Staatsoberhäupter, Regierungsbehörden und einflussreiche Persönlichkeiten des öffentlichen Lebens) dagegen Hacker.
Er behauptet, dass auf der Hälfte der Twitter-Server veraltete Software läuft und fast ein Viertel der Mitarbeiter Software-Updates auf ihren Systemen deaktiviert haben, die wichtige Sicherheitspatches bereitstellen könnten.
Wenn dies zutrifft, kann Twitter als Verstoß gegen die 2011 Vereinbarung mit der FTCzum Thema Verbraucherschutz. Die Vereinbarung verpflichtete das Unternehmen, ein solides Informationssicherheitsmodell zu erstellen und aufrechtzuerhalten, das 10 Jahre lang von einem unabhängigen Wirtschaftsprüfer überprüft werden sollte.
2. Problematische interne Zugriffe
Ein Faktor, der die Plattform angreifbar macht, ist der weitreichende und unnötige Zugriff der Mitarbeiter auf die Produktionsumgebung.
Herr Zatko behauptet, dass viel zu viele Mitarbeiter, darunter alle Ingenieure und etwa die Hälfte der Belegschaft, direkt am Live-Produkt der Plattform arbeiten und auf tatsächliche Benutzerdaten zugreifen. Dies ist in Technologieunternehmen wie Meta und Google, wo Entwickler Dummy-Daten verwenden, unbekannt Code und Test in spezialisierten Sandboxen ohne die Hauptprodukte zu beeinträchtigen.
Der schlecht verfolgte Zugriff auf die Kernsoftware des Unternehmens hat in der Vergangenheit zu peinlichen Hacks geführt, einschließlich der Beschlagnahme hochkarätiger Benutzerkonten wie Bill Gates, Elon Musk und Joe Biden.
3. Irreführende Spam- und Bot-Zählung
Die Offenlegung des Twitter-Whistleblowers wirft dem Unternehmen vor, die Investoren und die Öffentlichkeit über die Menge an Spam und Bots auf der Plattform irregeführt zu haben.
Zuvor hatte Twitter behauptet, dass nur fünf Prozent der Konten auf der Plattform Bots sind, aber Zatko sagt, dass die tatsächliche Zahl weitaus höher ist. Er behauptet, dass das Unternehmen dem Benutzerwachstum Vorrang vor der Reduzierung von Spam einräumt und dass Führungskräfte Prämien in Millionenhöhe verdienen, um die tägliche Benutzeraktivität zu steigern.
Dieser Vorwurf liefert genug Munition dazu Elon Musk in seinem Rechtsstreit um einen Ausstieg aus einem 44-Milliarden-Dollar-Deal das Unternehmen zu kaufen.
4. Internationale Bedrohungen
Pieter Zatko behauptet, dass ausländische Regierungen, die sich Zugang zur Plattform verschaffen oder Druckmittel dagegen finden, der nationalen Sicherheit und den Interessen der USA enormen Schaden zufügen können. Die Bedrohung ist nicht theoretisch, wenn man die vergangenen Vorfälle und die schwache Haltung des Unternehmens zur Cybersicherheit betrachtet.
Der Bericht behauptet, dass die US-Regierung kurz vor Zatkos Entlassung Twitter den Hinweis gegeben habe, dass mindestens einer ihrer Mitarbeiter ein Agent eines ausländischen Geheimdienstes sei. Zatko glaubt auch, dass das Unternehmen zwei Personen eingestellt hat, die Agenten der indischen Regierung waren.
In ähnlicher Weise behauptet Zatko, dass vor der russischen Invasion in der Ukraine Parag Agrawal, der bei Twitter CTO war Zeit, vorgeschlagen, Zugeständnisse an Russland zu machen, um im Land auf Kosten der Zensur oder zu wachsen Überwachung.
Dies ist nicht das erste Mal, dass Twitter beschuldigt wird, Ländern geholfen zu haben, die Plattform zu zensieren oder zu überwachen, um finanzielle Vorteile zu erzielen. Nur zwei Wochen vor Zatkos Enthüllung verurteilte eine Jury einen ehemaligen Twitter-Manager der Spionage für Saudi-Arabien.
Was sagt Twitter zu den Vorwürfen?
Zatkos Bericht enthält Dutzende schwerwiegender Vorwürfe gegen Twitters Fehlverhalten, darunter Sicherheitslücken, schlechte Zugriffskontrollen, irreführende Messung von Spam- und Bot-Konten und mehr.
Aber die Vizepräsidentin für Kommunikation des Unternehmens, Rebecca Hahn, sagte Die Washington Post dass Zatkos Offenlegung „wichtiger Kontext“ fehlt. Hahn glaubt, dass die „Vorwürfe und das opportunistische Timing darauf abzielen, Aufmerksamkeit zu erregen und Twitter Schaden zuzufügen“ und dass „Sicherheit und Datenschutz seit langem unternehmensweite Prioritäten haben“.
Auch Agrawal wies die Vorwürfe gegenüber Twitter zurück und nannte es „eine falsche Erzählung, die voller Ungereimtheiten ist und Ungenauigkeiten." In einem Memo an die Mitarbeiter betonte er, das Unternehmen werde alle Wege einschlagen, um seine Integrität zu verteidigen und den Rekord aufzustellen gerade.
Was können wir vom Twitter-Whistleblower lernen?
Wichtig ist, dass wir uns alle bewusst sein müssen, dass wir uns nicht nur auf andere Parteien verlassen können, um uns online zu schützen. Twitter kann seine Benutzer möglicherweise Hackern zugänglich machen oder nicht, aber letztendlich müssen wir alle persönlich Verantwortung übernehmen welche Daten wir an das Unternehmen weitergeben – und in der Tat an jede Organisation, die nach mehr persönlichen Informationen fragt, als sie sind notwendig.