Бывший глава службы безопасности Twitter Пейтер Затко дал показания в Сенате США. Затко заявил, что в Twitter работают шпионы из Китая и Индии, а проблемы с безопасностью в Twitter угрожают национальной безопасности США.
Разоблачения Затко
Скандал вокруг заявлений Пейтера Затко (Peiter «Mudge» Zatko) начался еще в конце августа текущего года. Тогда Затко, который занимал должность главы безопасности Twitter с ноября 2020 года по январь 2022 года, обратился к правительству США и подал в Конгресс огромный 84-страничный отчет, в котором детально описал, как ужасно, по его мнению, в Twitter обстоят дела с безопасностью.
Заявления Затко произвели настоящий фурор, о них писали ведущие американские СМИ, включая CNN и Washington Post, а компания Twitter, вокруг которой и так сосредоточено много внимания из-за сделки с Илоном Маском, вновь оказалась в центре скандала.
Дело в том, что разоблачения Затко практически не подвергались сомнению сразу по нескольким причинам. Во-первых, он имеет давнюю и заслуженную репутацию whitehat’а и этичного хакера, а также работал с правительством США над многими проектами в области кибербезопасности (а его жена и вовсе бывшая сотрудница АНБ).
Во-вторых, снижение качества модерации в Twitter в последние месяцы заметили уже почти все. Судя по всему, компания не справляется с масштабными кампаниями по распространению дезинформации, ботами и различными злоупотреблениями. И многие, как и Затко, считают, что ситуация резко ухудшилась после того, как Параг Агравал (Parag Agrawal) был назначен на пост генерального директора Twitter в ноябре 2021 года.
К примеру, в Transparency Center Twitter с декабря прошлого года не появлялось новых отчетов. А новый подход к модерации сообщений и работе с жалобами привел к тому, что платформа не реагирует даже на угрозы убийством, призывы к геноциду и мошенничество. Летом эту проблему освещало CBS News, после того как вице-президент США Камала Харрис получила угрозы и оскорбления от тысяч аккаунтов в Twitter, но никаких блокировок и разбирательств так и не последовало.
Основные тезисы в отчете Затко, поданном в Конгресс, таковы.
- В Twitter нет нормального контроля доступа, нет тестовой среды и большинство инженеров имеют постоянный доступ к производственной среде и пользовательским данным.
- Twitter не ведет логи того, что инженеры изменяют в производственной среде, а также того, кто и к чему обращается.
- Около половины из 500 000 серверов Twitter используют устаревшее ПО, которое не имеет даже базовых защитных функций (включая шифрование данных), а также не получает регулярных обновлений.
- Twitter не способен удалить пользовательские данные, если пользователь запрашивает удаление и хочет ликвидировать свой аккаунт. В основном это происходит из-за того, что данные распространяются по внутренним системам компании, и потом их трудно даже отследить.
- В Twitter наблюдается нехватка избыточного оборудования и процедур для восстановления после возможных сбоев в ЦОД, что подвергает риску важные пользовательские данные.
- Индийское правительство вынудило Twitter принять в штат агентов своей страны, которые получили доступ к огромному количеству пользовательских данных Twitter.
- Нынешний генеральный директор компании Параг Агравал был готов выполнить просьбу российских властей и цензурировать контент в Twitter.
- Руководители Twitter всегда отдавали приоритет росту пользовательской базы, а не безопасности, поскольку именно это могло принести им бонусы в размере до 10 000 000 долларов. Это привело к тому, что руководство не было заинтересовано в измерении количества ботов на платформе, а раскрытие таких цифр, скорее всего, нанесет ущерб акциям компании.
- Глава Twitter пытался отключить защитную функцию ROPO, которая переводит учетные записи в режим read only, пока они не пройдут процесс проверки номера телефона. Эта функция была создана для борьбы со спам-ботами.
- За спиной Затко руководство Twitter пыталось избавиться от отчета об активной государственной пропаганде и кампаниях по дезинформации в Twitter, который был составлен сторонней консалтинговой фирмой по запросу самого Затко.
- Twitter не соблюдал требования властей и лгал регулирующим органам о своих мерах безопасности и способности защищать пользовательские данные.
- Затко утверждает, что ему велели тщательно выбирать и искажать данные, чтобы создать ложное представление о прогрессе в вопросах кибербезопасности, когда нужно будет представить отчет совету директоров.
- Руководство Twitter пыталось скрыть или исказить отчеты Затко перед другими членами правления.
- Затко заявляет, что был уволен после того, как сообщил о проблемах с безопасностью и мошенничестве руководству Twitter, а также пожаловался на нарушения специалисту из отдела корпоративного контроля.
Также в отчете Затко прослеживается мысль, что в бедах компании в основном виноват Параг Агравал, который лгал регулирующим органам, собственному совету директоров, не боролся с ботами, не решал проблемы безопасности и позволил иностранной разведке проникнуть в компанию.
При этом, по словам самого Агравала, Затко попросту плохо выполнял свою работу и теперь пытается обвинить Twitter в собственных неудачах. К тому же в компании подчеркивали, что многие проблемы, о которых писал Затко, уже давно решены.
Выступление в Сенате
Вчера Пейтер Затко давал показания перед Юридическим комитетом Сената США, и снова вбросил в информационное пространство настоящую бомбу.
«Сбои в системе безопасности Twitter угрожают национальной безопасности страны, ставят под угрозу конфиденциальность и безопасность пользователей, а порой угрожают даже самому существованию компании», — заявил Затко.
По его словам, в компании «даже не знают, какие данные у них есть, где они хранятся и откуда взялись» и поэтому совсем неудивительно, что Twitter не способен их защитить. Хуже того, при этом еще раз было подчеркнуто, что сотрудники имеют практически неограниченный доступ ко множеству систем и информации. «Но неважно, у кого есть ключи, если у вас на дверях нет замков», — говорит бывший глава службы безопасности Twitter.
В своем выступлении Затко подтвердил, что наблюдал за иностранным агентом из Индии, который проник в компанию и пытался понять, как Twitter обрабатывает контент, имеющий отношение к политике его страны. Также он рассказал, что примерно за неделю до увольнения ФБР сообщило ему, что в Twitter работает еще как минимум один агент китайской разведки. При этом руководству компании якобы было известно о подозрениях, что среди сотрудников есть шпионы, но принять меры мешало отсутствие централизованных логов и невозможность понять, чем именно могут заниматься эти подозрительные сотрудники.
«У них просто нет возможности выслеживать иностранные спецслужбы и выгонять их самостоятельно», — говорит Затко.
По его словам, один из руководителей Twitter прямо заявил ему, что еще один иностранный агент в компании – это не проблема, ведь один уже есть, так какая разница, если будут наняты другие.
Затко объяснил собравшимся, что такой сотрудник компании мог бы захватить Twitter-аккаунты каждого сенатора в зале. И якобы именно беспокойство из-за такого положения дел и побудило Затко, с большим профессиональным и личным риском, стать разоблачителем и заявить о проблемах компании открыто.
«Трудно заставить человека что-то понять, если ему платят зарплату именно за то, чтобы он этого не понимал», — сказал во время слушаний Затко, процитировав писателя Эптона Синклера.
В ответ на вопрос, что же он предлагает делать, Затко сообщил, что он видит решение в изменении руководства компании, а также в создании стандартов, которые регулирующие органы смогут использовать для привлечения к ответственности таких компаний, как Twitter.
Twitter и Маск
Интересно, что многие видят в происходящем связь со сделкой по покупке Twitter, от которой последние месяцы пытается уклониться Илон Маск. Дело в том, что даже отчет Затко начинался именно с этой темы и гласил, что Параг Агравал и Twitter солгали Маску о количестве спама и ботов, которые в настоящее время активны на платформе.
Теперь же акционеры Twitter поддержали продажу компании Илону Маску за исходно предложенные 44 млрд долларов, то есть по цене 54,2 доллара за акцию. Проблема заключается в том, что сейчас акции компании находятся на уровне прмиерно 40,74 долларов за акцию, то есть Twitter стоит намного дешевле, чем предложил за него Маск.
В настоящее время Маск и его юристы надеются, что претензии Затко обоснованы, в компании действительно все плохо, и это поможет освободиться от договорных обязательств по покупке бизнеса Twitter. Сейчас Маск через суд добивается отмены сделки на основании допущенных Twitter нарушений.
В конце замечу, что в Twitter уже заявили, что заявления Затко не соответствуют действительности:
«Сегодняшнее слушание лишь подтверждает, что утверждения мистера Затко пронизаны несоответствиями и неточностями», — говорят в компании, но не конкретизируют, в чем именно неправ бывший глава службы безопасности.