Der frühere Twitter-Sicherheitschef Peiter „Mudge“ Zatko hat seinem ehemaligen Arbeitgeber in einer brisanten Whistleblower-Beschwerde, die ihm zuerst zugegangen war, Fahrlässigkeit bei der Cybersicherheit vorgeworfen CNN und Die Washington Post.
Zatko, ein bekannter Hacker, wurde Ende 2020 von Twitter angeworben, um die Sicherheitsabteilung des Unternehmens zu leiten, Monate nachdem Hacker bei einem sehr öffentlichen Verstoß die Twitter-Konten einiger der berühmtesten Persönlichkeiten der Welt, darunter Joe Biden und Elon, gekapert hatten Moschus. Weniger als zwei Jahre später wurde er aus dem Unternehmen entlassen.
Obwohl seine Zeit bei Twitter kurz war, sagte Zatko, er sei Zeuge von „ungeheuerlichen Mängeln, Fahrlässigkeit, vorsätzlicher Ignoranz und Bedrohung der nationalen Sicherheit und Demokratie“ geworden, so seine Whistleblower-Beschwerde vom 6. Juli, die bei der US-Börsenaufsichtsbehörde Securities and Exchange Commission eingereicht wurde ( SEC), der Federal Trade Commission (FTC) und dem Justizministerium. Er sagte der Washington Post, dass sein öffentliches Whistleblowing erfolgt, nachdem seine Versuche, die Sicherheitslücken beim Twitter-Vorstand zu melden, ignoriert wurden.
Zatko behauptet in der von Tech geprüften Beschwerde, dass es Twitter an grundlegenden Sicherheitskontrollen fehle. Er sagte, dass Tausende von Mitarbeiter-Laptops vollständige Kopien des Twitter-Quellcodes enthielten und dass etwa ein Drittel dieser Geräte automatische Sicherheitskorrekturen blockierten, System-Firewalls deaktiviert und Remote-Desktop-Zugriff für nicht genehmigte Zwecke aktiviert hatten. Zatko beschuldigte das Unternehmen auch, nicht aktiv überwacht zu haben, was die Mitarbeiter auf ihren Computern tun. Infolgedessen „wurde wiederholt festgestellt, dass Mitarbeiter auf Anfrage externer Organisationen absichtlich Spyware auf ihren Arbeitscomputern installierten“, heißt es in der Beschwerde.
Zatko behauptet auch, dass etwa 5.000 Vollzeitbeschäftigte breiten Zugriff auf die interne Software des Unternehmens hatten und dass der Zugriff nicht genau überwacht wurde, was ihnen die Möglichkeit gab, auf sensible Daten zuzugreifen und die Funktionsweise des Dienstes zu ändern.
Während seiner Zeit bei dem Unternehmen sagte Zatko, er sei auf eine Reihe von Schwachstellen gestoßen, „die darauf warten, entdeckt zu werden“. Er sagte, er habe entdeckt, dass die Hälfte der 500.000 Rechenzentrumsserver des Unternehmens auf veralteter Software laufen, die grundlegende Sicherheitsfunktionen wie die Verschlüsselung gespeicherter Daten nicht unterstützt oder keine regelmäßigen Sicherheitsupdates mehr von ihren Anbietern erhält. Dies bedeutete, dass Twitter unter einem „ ungewöhnlich hohe Rate“ von Sicherheitsvorfällen, sagte Zatko, und „befürchtete, dass Twitter einen Hack auf Equifax-Niveau erleiden könnte“, und bezog sich auf die Verletzung der Kreditagentur im Jahr 2017, die zum Diebstahl der persönlichen Daten von fast 150 Millionen Amerikanern führte.
In der Beschwerde wird behauptet, dass das Unternehmen jede Woche ungefähr einen Sicherheitsvorfall hatte, der so schwerwiegend war, dass Twitter ihn an Regierungsbehörden melden musste.
„Allein im Jahr 2020 hatte Twitter mehr als 40 Sicherheitsvorfälle, von denen 70 % im Zusammenhang mit der Zugangskontrolle standen“, heißt es in der Beschwerde. „Dazu gehörten 20 Vorfälle, die als Verstöße definiert wurden; Alle bis auf zwei bezogen sich auf die Zugangskontrolle.“
Neben Behauptungen über schwerwiegende Cybersicherheitsmängel behauptet Zatko auch, dass die indische Regierung Twitter gezwungen habe, einen ihrer Agenten einzustellen, und dass das Unternehmen wiederholt gegen die Bedingungen von verstoßen habe eine Vereinbarung von 2011 mit der FTC. In der Beschwerde wird behauptet, dass Twitter die Daten von Benutzern – einschließlich Direktnachrichten – nicht zuverlässig löscht, nachdem sie ihre Konten gekündigt haben, in einigen Fällen, weil das Unternehmen die Informationen aus den Augen verloren hat, und dass es die Aufsichtsbehörden darüber in die Irre geführt hat, ob es die Daten so löscht, wie sie sind erforderlich zu tun.
Die Beschwerde hat auch potenzielle Auswirkungen auf den Rechtsstreit von Twitter mit Musk, der versucht, aus einem 44-Milliarden-Dollar-Vertrag zum Kauf der Social-Media-Plattform herauszukommen. Zatko sagt, dass Twitter-Führungskräfte nicht über die Ressourcen verfügen, um die wahre Anzahl von Bots auf der Plattform vollständig zu verstehen, und nicht motiviert waren, dies zu tun.
Twitter-Sprecherin Madeline Broas sagte gegenüber Tech in einer Standarderklärung: „Mr. Zatko wurde im Januar 2022 wegen ineffektiver Führung und schlechter Leistung aus seiner leitenden Position bei Twitter entlassen. Was wir bisher gesehen haben, ist ein falsches Narrativ über Twitter und unsere Datenschutz- und Datensicherheitspraktiken, das voller Ungereimtheiten und Ungenauigkeiten ist und dem wichtiger Kontext fehlt. Die Anschuldigungen von Herrn Zatko und sein opportunistisches Timing scheinen darauf ausgelegt zu sein, Aufmerksamkeit zu erregen und Twitter, seinen Kunden und Aktionären Schaden zuzufügen. Sicherheit und Datenschutz haben bei Twitter seit langem unternehmensweite Prioritäten und werden es auch weiterhin sein.“