Бывший глава службы безопасности Twitter Пейтер Затко направил в Комиссию по ценным бумагам и биржам, Минюсту и Федеральной торговой комиссии США 84-страничный документ, в котором сообщил, что администрация соцсети вводит регулирующие органы в заблуждение относительно своей защите от хакеров и спам-аккаунтов, пишет CNN.
Более известный как хакер «Мадж», впервые ставший известным в 1990-х годах, а позже работавший на руководящих должностях в Агентстве передовых оборонных исследований Пентагона и Google, Затко является экспертом по кибербезопасности. Он в частности заявил, что неоднократно предупреждал работодателя о плачевном состоянии кибербезопасности платформы: более половины серверов Twitter, по его словам, работают под управлением устаревшего и опасного ПО. Это не позволяет сервису обеспечить достаточно надежную защиту от киберпреступников и спамеров.
По словам «Маджа», Twitter чрезвычайно уязвим к эксплуатации со стороны иностранных правительств способом, угрожающим национальной безопасности США, и может даже иметь в штате иностранных шпионов.
Сочетание слабых средств контроля кибербезопасности и плохая аналитика неоднократно подвергала Twitter многочисленным рискам со стороны иностранных разведок.
Затко утверждает, что руководители Twitter, включая нынешнего генерального директора Парага Агравала, сознательно подвергают риску пользователей и сотрудников Twitter, начиная с получения денег из ненадежных китайских источников и заканчивая предложениями компании подчиняться требованиям российской цензуры и слежки.
Журналисты обратились в Twitter с просьбой дать комментарии, однако Twitter не ответил на вопрос о рисках иностранной разведки. Представитель компании лишь сказал, что обвинения Затко «пронизаны непоследовательностью и неточностями и лишены важного контекста».
Затко передал властям имеющуюся у него информацию в прошлом месяце после, по его словам, месяцев безуспешных попыток бить тревогу в Twitter об опасностях, с которыми он столкнулся.
Согласно документу, за несколько месяцев до того, как Россия вторглась в Украину, Агравал, тогдашний главный технический директор Twitter, был готов пойти на значительные уступки Кремлю в обмен на возможность работать и увеличивать количество пользователей в РФ.
И хотя эта идея была в конце концов отвергнута, Затко все равно считает это тревожным признаком того, как далеко Twitter готов зайти в погоне за пользователями.
«Тот факт, что нынешний генеральный директор Twitter даже предполагал, что Twitter мог стать соучастником режима Путина, является причиной для беспокойства по поводу влияния Twitter на национальную безопасность США», — говорится в заявлении Затко.
Платформа находится в сложном положении и в Китае: компания якобы приняла финансирование от неназванных «китайских организаций», теперь имеющих доступ к информации, которая может помочь разоблачить пользователей, незаконно обходящих правительственную цензуру, чтобы использовать Twitter.
"Руководители корпорации знали, что принятие китайских денег рискует поставить под угрозу безопасность пользователей в Китае", - говорится в документе.
80-страничное заявление Затко, в котором изложены его обвинения, а также почти два десятка дополнительных подтверждающих документов, были обнародованы только через две недели после того, как бывший менеджер Twitter был осужден за шпионаж в пользу Саудовской Аравии. Он якобы злоупотреблял своим доступом к данным Twitter для сбора информации о подозреваемых саудовских диссидентах, включая номера телефонов и адреса электронной почты, и якобы передал эту информацию правительству Саудовской Аравии.
Эта дыра в безопасности, впервые обнаруженная в 2019 году, подчеркивает серьезность обвинений Затко, описывающих Twitter как организацию с тревожно слабым контролем кибербезопасности. Чтобы выполнять свою работу, около половины сотрудников Twitter имеют чрезмерные разрешения, предоставляющие доступ к данным пользователей. У каждого инженера компании, утверждает Затко, есть полная копия исходного кода Twitter на своем ноутбуке».
В заявлении экс-сотрудника также утверждается, что Twitter не может контролировать и часто не знает, что могут делать сотрудники на своих рабочих компьютерах. Данные, обнародованные Затко из внутренних панелей кибербезопасности Twitter, показывают, что четыре из 10 устройств сотрудников, то есть тысячи ноутбуков, не имеют базовых средств защиты, таких как брандмауэры и автоматические обновления программного обеспечения. Сотрудники также могут устанавливать программное обеспечение сторонних разработчиков на свои компьютеры, что неоднократно приводило к установке несанкционированного шпионского программного обеспечения на устройствах по приказу сторонних организаций.
Ненадлежащий доступ и ограниченный надзор за поведением сотрудников создают возможности для внутренних угроз, примером чего является саудовский оперативник, однако правительство Саудовской Аравии было не единственным, кто стремился получить больший доступ к внутренним системам Twitter, утверждает Затко.
Индия, Нигерия и Россия с переменным успехом стремились заставить Twitter нанять местных работников, которые могли бы использоваться как рычаг влияния. Корпоративные и пользовательские данные, хранящиеся на компьютерах сотрудников или доступные им, могут оказаться под угрозой доступа или конфискации со стороны местных органов власти. Сами работники, или их семьи могут оказаться под давлением угроз или принуждения.
Представитель комитета по разведке Сената США Рейчел Коэн сообщила, что комитет получил жалобу Затко и работает над организацией встречи «для более детального обсуждения обвинений».
Сенатор Дик Дурбин, демократ от штата Иллинойс, заявил, что если утверждения правдивы, они могут свидетельствовать об опасных рисках для конфиденциальности данных и безопасности для пользователей Twitter по всему миру.
Как сообщалось, в июле в работе сервиса микроблогов Twitter произошел глобальный сбой.