Eine tickende Bombe von Sicherheitslücken. Verschleierung von Sicherheitsmängeln. Aufsichtsbehörden täuschen und Gesetzgeber irreführen.
Dies sind nur einige der Anschuldigungen, als Peiter Zatko, der frühere Sicherheitschef von Twitter, zum Whistleblower wurde, am Dienstag vor dem Justizausschuss des Senats aussagte, weniger als einen Monat nach der Veröffentlichung seiner explosiven Whistleblower-Beschwerde, die bei den Bundesbehörden eingereicht wurde. Zatko, besser bekannt als Mudge, machte seine ersten Kommentare seit der Veröffentlichung seiner Beschwerde.
Twitter reagierte nicht auf eine Bitte um Stellungnahme.
Dies sind die wichtigsten Erkenntnisse aus Mudges Aussage vor Gesetzgebern und was wir aus der Anhörung am Dienstag gelernt haben.
Das FBI warnte Twitter, es habe einen chinesischen Spion im Personal
Senator Chuck Grassley, das ranghöchste Mitglied des Justizausschusses des Senats, sagte in seiner Eröffnungsrede, dass das FBI Twitter gewarnt habe, dass es möglicherweise einen chinesischen Spion auf seiner Gehaltsliste habe.
Eine redigierte Version von Mudges Whistleblower-Beschwerde, die letzten Monat veröffentlicht wurde, besagte, dass Twitter spezifische Informationen von der US-Regierung erhalten habe, dass „ein oder mehrere bestimmte Mitarbeiter des Unternehmens im Auftrag eines anderen bestimmten ausländischen Geheimdienstes arbeiteten“. Die Nationalität der ausländischen Geheimdienstagenten wurde damals nicht bekannt gegeben.
Aber Mudge sagte dem Gremium, dass der Spion ein Agent des chinesischen Ministeriums für Staatssicherheit oder MSS, des wichtigsten Geheimdienstes des Landes, sei. Er fügte hinzu, dass ein als Ingenieur eingestellter ausländischer Agent Zugang zu persönlichen Benutzerinformationen und möglicherweise anderen sensiblen Unternehmensinformationen hätte, da Twitter-Ingenieure – etwa 4.000 Mitarbeiter – umfassenden Zugriff auf Unternehmensdaten haben, wie z. B. die Pläne von Twitter, Informationen in einer bestimmten Region zu zensieren oder Forderungen einer Regierungsanfrage nachgeben. Aber weil Twitter den Zugriff der Mitarbeiter nicht genau überwacht oder protokolliert hat, sagte Mudge seiner Beschwerde zufolge, es sei „sehr schwierig“ festzustellen, welche spezifischen Daten von Twitter-Mitarbeitern als ausländische Agenten genommen wurden.
Der chinesische Spion war nicht der einzige Agent einer ausländischen Regierung auf der Gehaltsliste von Twitter. Mudge sagte in seiner Beschwerde, dass es der indischen Regierung „erfolgreich war, Agenten auf die Gehaltsliste des Unternehmens zu setzen“, denen „direkter unbeaufsichtigter Zugang zu den Systemen und Benutzerdaten des Unternehmens“ gewährt wurde. Im August wurde ein ehemaliger Twitter-Mitarbeiter der Spionage für die saudische Regierung und der Weitergabe von Benutzerdaten mutmaßlicher Dissidenten für schuldig befunden.
Tausende Versuche, sich wöchentlich in Twitter zu hacken
Ein gemeinsames Thema in Mudges Beschwerde ist, dass Twitter nicht die Sichtbarkeit hatte, um zu wissen, auf welche Datentechniker Zugriff hatte oder auf welche Benutzerdaten oder Unternehmensinformationen sie zugegriffen haben. Aber ein System, das Logins für Twitter-Ingenieure verfolgte, stellte fest, dass es jede Woche „Tausende“ fehlgeschlagene Versuche registrierte, sich in die Systeme von Twitter einzuloggen, sagte Mudge den Mitgliedern des Kongresses.
Mudge sagte in seiner Beschwerde, dass das Unternehmen jeden Tag bis zu 3.000 fehlgeschlagene Versuche sah, und beschrieb dies als „riesige rote Flagge“. Mudge sagte, der damalige Chief Technology Officer von Twitter, Parag Agrawal – jetzt Chief Executive – habe niemanden damit beauftragt, das Problem zu diagnostizieren oder zu beheben, fügte die Beschwerde hinzu.
„Dieser grundlegende Mangel an Protokollierung bei Twitter ist ein Überbleibsel davon, dass ihre Infrastruktur, die Technik und die Ingenieure so weit zurückliegen, dass sie nicht in der Lage sind, Dinge für die Modernisierung einzurichten“, sagte Mudge aus.
Was Twitter über seine Nutzer weiß und warum Spione es wollen
Angesichts des Fokus von Twitters offensichtlich laxen Zugriffskontrollen auf Benutzerinformationen fragte der Gesetzgeber Mudge, welche Art von Daten Twitter von seinen Benutzern sammelt. Mudge sagte, dass Twitter den Umfang der gesammelten Daten nicht vollständig verstehe.
Er sagte, dass zu den von Twitter gesammelten Daten gehören: die Telefonnummer eines Benutzers, die aktuelle und frühere IP-Adresse, von der aus der Benutzer eine Verbindung herstellt, aktuelle und frühere E-Mail-Adressen, der ungefähre Standort der Person basierend auf IP-Adressen und Informationen über das Gerät oder den Browser der Person Sie greifen auf Twitter zu, z. B. Marke und Modell sowie die Sprache des Benutzers.
Mudge sagte, es sei möglich, dass Ingenieure Zugang zu diesen Informationen hätten und ein attraktives Ziel für ausländische Geheimdienste darstellen würden. Einer der Gründe, die er anführte, war, dass es für Regierungen hilfreich wäre, bestimmte Gruppen anzusprechen und im Auge zu behalten, was Twitter über ihre Agenten oder Informationsoperationen weiß.
Mudge warnte auch davor, dass Twitter-Benutzerinformationen für Belästigungen oder gezielte Angriffe auf Personen im Rahmen von Beeinflussungsoperationen in der realen Welt verwendet werden könnten, z. B. ein Familienmitglied oder ein Kollege, und als Druckmittel verwendet werden könnten, um ihnen nahestehende Personen ohne deren Wissen zu beeinflussen. „Es könnte mit anderen Datensammlungen verwendet werden“, sagte Mudge dem Gesetzgeber und verwies auf frühere Verstöße, darunter massive Diebstähle von Gesundheitsdaten und Personalakten der US-Regierung, wie z. B. die Verletzung von 22 Millionen Datensätzen des US Office of Personnel Management im Jahr 2012. Mudge sagte dem Gesetzgeber, dass seine eigene OPM-Datei bei der Verletzung gestohlen wurde, als er für die Bundesregierung arbeitete.
US-Regierungsbehörden lassen Unternehmen „ihre eigenen Hausaufgaben benoten“
Mudges Beschwerde und die anschließende Zeugenaussage landen nur wenige Monate, nachdem Twitter 150 Millionen US-Dollar in einem Vergleich mit der Federal Trade Commission wegen Verstoßes gegen die Datenschutzvereinbarung von 2011 gezahlt hatte, nachdem das Unternehmen E-Mail- und Telefondaten zur Sicherung seiner Konten verwendet hatte, diese Informationen dann jedoch für gezielte Werbung verwendet hatte.
Mudge sagte dem Gesetzgeber, dass Regierungsbehörden zwar die Verantwortung haben, das Gesetz durchzusetzen, und dass sie die richtige Absicht haben, er beschuldigte die FTC jedoch, „ein wenig übertrieben“ zu sein, indem sie Unternehmen erlaube, „ihre eigenen Hausaufgaben zu bewerten“. Als Antwort auf eine Frage von Senator Richard Blumenthal verwies Mudge auf die Datenschutzvereinbarung von 2011 und fragte: „Wie [has Twitter] hast du das bestanden?“
In Bezug auf die Regulierungsbehörden und ihre Durchsetzungsbefugnisse sagte Mudge gegenüber dem Gesetzgeber: „Was ich gesehen habe, funktionieren die Werkzeuge im Werkzeuggürtel nicht.“