Da den tidligere Twitter-chef Jack Dorsey ansatte Peiter Zatko som Twitters sikkerhedschef i 2020, troede, at hackeren, der blev cybersikkerhedsspecialist, kunne hjælpe virksomheden med at forbedre sin sikkerhed positur. Men to år senere kunne Peiter enten ikke hjælpe Twitter, eller også ville firmaet ikke have hans hjælp. Han blev fyret for ineffektivt lederskab og dårlig præstation, men Zatko hævder noget andet.
Han indgav en klage til Securities and Exchange Commission (SEC), Federal Trade Commission (FTC) og justitsministeriet og anklagede Twitter for bevidst uvidenhed og store sikkerhedsbrister.
Det er en litani af anklager, hver mere fordømmende end den næste. Her er flere afsløringer fra Zatkos anklageskrift mod Twitter.
1. Farlige sikkerhedssårbarheder
Blandt de mest alvorlige anklager, som Zatko fremsatte mod Twitter, er, at virksomheden ikke gør meget for at beskytte sine 238 millioner daglige brugere (som omfatter statsoverhoveder, regeringsorganer og indflydelsesrige offentlige personer) mod hackere.
Han hævder, at halvdelen af Twitter-servere kører forældet software, og næsten en fjerdedel af medarbejderne har deaktiveret softwareopdateringer på deres systemer, der kunne give vigtige sikkerhedsrettelser.
Hvis det er sandt, kan Twitter blive holdt i strid med 2011 aftale med FTCom forbrugersikkerhed. Aftalen krævede, at virksomheden skulle skabe og vedligeholde en solid informationssikkerhedsmodel, der skulle inspiceres af en uafhængig revisor i 10 år.
2. Problematiske interne adgange
En faktor, der gør platformen sårbar, er den vidtrækkende og unødvendige adgang, som medarbejdere angiveligt har til produktionsmiljøet.
Zatko hævder, at alt for mange medarbejdere, inklusive alle ingeniører og omkring halvdelen af arbejdsstyrken, arbejder direkte på platformens live-produkt og får adgang til faktiske brugerdata. Dette er uhørt i teknologivirksomheder som Meta og Google, hvor udviklere bruger dummy-data til kode og test i specialiserede sandkasser uden at påvirke hovedprodukterne.
Den dårligt sporede adgang til virksomhedens kernesoftware har ført til pinlige hacks i fortiden, herunder styring af højprofilerede brugerkonti som Bill Gates, Elon Musk og Joe Biden.
3. Vildledende spam og botantal
Twitter-whistleblowerens afsløring anklager virksomheden for at vildlede investorerne og offentligheden over mængden af spam og bots på platformen.
Tidligere havde Twitter hævdet, at kun fem procent af konti på platformen er bots, men Zatko siger, at det reelle tal er langt højere. Han hævder, at virksomheden prioriterer brugervækst frem for at reducere spam, og at ledere tjener bonusser til en værdi af millioner for at øge den daglige brugeraktivitet.
Denne anklage giver nok ammunition til Elon Musk i sin juridiske kamp for at trække sig ud af en aftale på 44 milliarder dollar at købe virksomheden.
4. Internationale trusler
Pieter Zatko hævder, at udenlandske regeringer, der får adgang til platformen eller finder løftestang mod den, kan gøre enorm skade på USA's nationale sikkerhed og interesser. Truslen er ikke teoretisk, når man tænker på de tidligere hændelser og virksomhedens svage cybersikkerhedsholdning.
Rapporten hævder, at kort før Zatko blev fyret, tippede den amerikanske regering Twitter om, at mindst en af dens ansatte var agent for et udenlandsk efterretningsagentur. Zatko mener også, at virksomheden hyrede to personer, som var agenter for den indiske regering.
På samme måde hævder Zatko, at forud for Ruslands invasion af Ukraine, Parag Agrawal, som var Twitters CTO ved gang, foreslog at give indrømmelser til Rusland for at vokse i landet på bekostning af censur eller overvågning.
Det er ikke første gang, Twitter er blevet beskyldt for at hjælpe lande med at censurere eller overvåge platformen for monetære fordele. Blot to uger før Zatkos afsløring dømte en jury en tidligere Twitter-manager for spionage for Saudi-Arabien.
Hvad siger Twitter om anklagerne?
Zatkos rapport indeholder snesevis af alvorlige beskyldninger mod Twitters forseelser, bl.a sikkerhedssårbarheder, dårlig adgangskontrol, vildledende måling af spam og botkonti og mere.
Men det fortalte virksomhedens vicepræsident for kommunikation, Rebecca Hahn Washington Post at Zatkos afsløring mangler "vigtig kontekst". Hahn mener, at "påstandene og den opportunistiske timing ser ud til at være designet til at fange opmærksomhed og påføre skade på Twitter", og at "sikkerhed og privatliv længe har været prioriteter for hele virksomheden".
Agrawal afviste også anklagerne mod Twitter og kaldte det "en falsk fortælling, der er fyldt med uoverensstemmelser og unøjagtigheder." I et notat til medarbejderne understregede han, at virksomheden vil følge alle veje for at forsvare sin integritet og sætte rekorden lige.
Hvad kan vi lære af Twitter-whistlebloweren?
Vigtigt er det, at vi alle skal være opmærksomme på, at vi ikke udelukkende kan stole på andre parter for at holde os sikre online. Twitter kan eller kan ikke lade sine brugere være åbne for hackere, men i sidste ende skal vi hver især tage personligt ansvar med hvilke data vi videregiver til virksomheden – og faktisk enhver organisation, der beder om flere personlige oplysninger, end det er nødvendig.
