Zu den vielen vernichtenden Anschuldigungen in der neu veröffentlichten Twitter-Whistleblower-Beschwerde gehört die beunruhigende Enthüllung, dass Twitter nicht in der Lage war, seine Produktionsumgebung abzudichten, um sich gegen potenzielle Insider-Bedrohungen während des Angriffs auf das US-Kapitol am 6. Januar zu schützen. Twitters ehemaliger Sicherheitschef Peiter „Mudge“ Zatko hat Twitter in einer umfangreichen neuen Beschwerde bei der Federal Trade Commission (FTC), der US Securities and Exchange Commission (SEC) und dem Justizministerium schwerer Fahrlässigkeit im Bereich der Cybersicherheit beschuldigt. Unter den Vorwürfen, die von schlechtem Datenschutz bis hin zu FTC-Verstößen reichen, weist die Beschwerde darauf hin, dass Twitter nicht in der Lage war, sich zu schützen, wenn einer seiner eigenen Mitarbeiter abtrünnig wurde.
Dieses Problem wurde entdeckt am 6. Januar, nachdem ein gewalttätiger Mob das US Capitol Building angegriffen hatte. Als Vorsichtsmaßnahme wollte Zatko die internen Systeme von Twitter sperren und stellte fest, dass dies keine Option war.
Zatko sagte, er habe die für die Technik zuständige Führungskraft gefragt, wie Twitter seine Produktionsumgebung abdichten könne, um sie vor internen Bedrohungen durch Mitarbeiter zu schützen, die möglicherweise die Randalierer unterstützt haben. Die Beschwerde erklärt, dass Zatko nicht wollte, dass Mitarbeiter auf die Produktionsumgebung zugreifen oder diese möglicherweise beschädigen, während der Capitol-Angriff im Gange war.
Was er jedoch herausfand, war, dass ein solcher Lockdown nicht nur schwierig, sondern angeblich unmöglich war.
„Alle Ingenieure hatten Zugriff“, heißt es in der Beschwerde. „Es wurde nicht protokolliert, wer in die Umwelt gegangen ist oder was er getan hat. Wenn Mudge [Peiter Zatko] Als er fragte, was getan werden könnte, um die Integrität und Stabilität des Dienstes vor einem Schurken oder verärgerten Techniker während dieser Phase erhöhter Risiken zu schützen, erfuhr er, dass es im Grunde nichts war. Es gab keine Protokolle, niemand wusste, wo sich Daten befanden oder ob sie kritisch waren, und alle Ingenieure hatten in irgendeiner Form kritischen Zugriff auf die Produktionsumgebung“, heißt es in der Beschwerde.
Twitter beauftragte Zatko Ende 2020 mit der Leitung der Sicherheitsabteilung nach einem hochkarätigen Angriff, bei dem die Twitter-Konten mehrerer hochkarätiger Personen, darunter Joe Biden, Bill Gates und Elon Musk, kompromittiert wurden. Während Zatkos Zeit bei Twitter behauptet der Sicherheitsexperte, Zeuge eines Unternehmens geworden zu sein, dem grundlegende Sicherheitskontrollen und -verfahren fehlten und in dem rund 5.000 Personen – oder die Hälfte der damaligen Twitter-Mitarbeiter – Zugang zu „sensiblen Live-Produktionssystemen und Benutzern“ erhalten hatten Daten“, um ihre Arbeit zu erledigen.
Dies verstößt gegen standardmäßige Engineering- und Sicherheitsprinzipien, die normalerweise den Zugriff auf Live-Produktionsumgebungen sperren. Ingenieure in Technologieunternehmen von der Größe von Twitter würden normalerweise Staging-Umgebungen und Testdaten verwenden, im Gegensatz zu Live-Kundendaten. Twitter nicht, fand Zatko. Stattdessen entdeckte er, dass Mitarbeiter neue Software direkt in der Produktion mit Live-Kundendaten und anderen sensiblen Informationen bauten, testeten und entwickelten, sagte er. Darüber hinaus wurde ein Großteil dieser Zugriffe nicht überwacht oder protokolliert, heißt es in der Beschwerde.
Aufgrund der gefährdeten Sicherheit von Twitter sagt Zatko, dass es während des Aufstands im Kapitol anfällig für Insider-Bedrohungen war.
Die Beschwerde hebt auch hervor, wie die fehlende Protokollierung von Twitter es den Mitarbeitern ermöglicht haben könnte, verschiedene Maßnahmen zu ergreifen, ohne erwischt zu werden. Die Probleme von Twitter in Bezug auf die ordnungsgemäße Protokollierung waren bereits bekannt, dank der Untersuchung des New York State Department of Financial Services (DFS) zum Hack am 15. Juli 2020 in die Twitter-Konten von Kryptowährungsfirmen und anderen bekannten Persönlichkeiten. Das hatte die DFS entdeckt dass Twitter keinen angemessenen Cybersicherheitsschutz hatte, einschließlich „angemessener Zugriffskontrollen und Identitätsverwaltung sowie angemessener Sicherheitsüberwachung“.
Darüber hinaus weist die Beschwerde darauf hin, dass Twitter zum Zeitpunkt des Twitter-Hacks im Jahr 2020 – damals der größte Hack einer Social-Media-Plattform in der Geschichte – keinen Chief Information Security Officer (CISO) hatte. Zatko hatte dies in der Beschwerde als eine der Möglichkeiten gekennzeichnet, wie Twitter gegen diese verstößt 2011 FTC-Zustimmungsverfügung. (Die FTC-Anordnung war zustande gekommen, nachdem mehrere andere Sicherheitsvorfälle im Jahr 2009 es Hackern ermöglicht hatten, die administrative Kontrolle über die Systeme von Twitter zu übernehmen. Gemäß den Bedingungen der FTC-Vereinbarung wurde Twitter angewiesen, ein umfassendes Informationssicherheitsprogramm einzurichten und aufrechtzuerhalten, das von bewertet würde ein externer Wirtschaftsprüfer.)
Die Beschwerde besagt, dass Twitter weder einen CISO noch eine Führungskraft hatte, die sich mit Informationssicherheit und Datenschutztechnik auskennt, als es im Jahr 2020 angegriffen wurde – nur wenige Monate vor dem Angriff auf das Kapitol. Das Unternehmen hatte seinen früheren Sicherheitschef Mike Convertino im Dezember 2019 verloren, nachdem er zu einem Cyber-Resilience-Unternehmen, Arceo, gewechselt war. Twitter stellte erst Ende September 2020 einen Ersatz ein, als Rinki Sethi, zuvor beim Cloud-Datenverwaltungsunternehmen Rubrik, als CISO eingestellt wurde. Das bedeutete, dass Twitter einen guten Teil des Jahres bis zum 6. Januar ohne einen Chief Information Security Officer auskam.
Zatko kam später im November 2020 zu Twitter, um die Sicherheit zu leiten.
In Ermangelung eines CISO war Parag Agrawal – damals Chief Technology Officer, jetzt CEO von Twitter – der wichtigste Entscheidungsträger für die Behebung der Sicherheitslücken, die durch den Twitter-Hack 2020 aufgedeckt wurden, heißt es in der Beschwerde.
Später gehörten sowohl Zatko als auch Sethi zu denen, die hat die Firma verlassen als Agrawal im Januar dieses Jahres die Geschäftsführung von Twitter aufrüttelte, nachdem er nach dem Abgang von Jack Dorsey im November 2021 das Amt des CEO übernommen hatte. Twitter dann ernannt Lea Kissner als CISO interimistisch, nachdem Sethi gegangen ist.
Twitter hat Zatkos Whistleblowing als „falsche Erzählung“ abgetan, die „gespickt ist mit Ungereimtheiten und Ungenauigkeiten“, in Erklärungen gegenüber der Presse – einschließlich derjenigen, die Tech zur Verfügung gestellt wurden.
Agrawal hat auch dieselbe Nachricht gesendet in einem Memo an die Mitarbeiter des Unternehmens, das unten enthalten ist.