Твитер има големи безбедносни проблеми кои претставуваат закана за личните информации на сопствените корисници, за акционерите на компаниите, за националната безбедност и за демократијата, се вели во експлозивното обелоденување на „свиркачите“ до кое дојдоа ексклузивно Си-Ен-Ен и Вашингтон пост.
ОБВИНУВАЊА ЗА ПРОПУСТИ, ПА ДУРИ И ШПИОНАЖА ЗА ТОП ФИГУРИ НА ТВИТЕР
Обелоденувањето, испратено минатиот месец до Конгресот и федералните агенции, дава слика за хаотична и несовесна средина во погрешно управувана компанија која дозволува премногу од нејзиниот персонал да може да пристапува до централните контроли на платформата и најчувствителните информации без соодветен надзор. Исто така, се наведува дека некои од највисоките директори на компанијата се обидуваат да ги прикријат сериозните пропусти на Твитер и дека еден или повеќе сегашни вработени можеби работат за странска разузнавачка служба. Свиркачот, кој се согласи да биде јавно идентификуван, е Пејтер „Маџ“ Затко, кој претходно беше шеф на обезбедувањето на компанијата, известувајќи директно до извршниот директор.
Затко понатаму тврди дека раководството на Твитер ги довело во заблуда сопствениот одбор и владините регулатори за неговите безбедносни пропусти, вклучително и некои кои наводно би можеле да ја отворат вратата за странски кампањи за шпионирање или манипулација, хакирање и дезинформација. Свиркачот, исто така, тврди дека Твитер не ги брише веродостојно податоците на корисниците откако тие ќе ги откажат нивните сметки, во некои случаи затоа што компанијата ја изгубила трагата на информациите и дека ги довела регулаторите во заблуда дали ги брише податоците како што се бара.
Свиркачот Затко исто така вели дека директорите на Твитер немаат ресурси целосно да го разберат вистинскиот број на ботови на платформата и дека не биле мотивирани. Ботовите неодамна станаа централни во обидите на Илон Маск да се повлече од договорот вреден 44 милијарди долари за купување на компанијата (иако Твитер ги негира тврдењата на Маск).
Затко беше отпуштен од Twitter во јануари поради, како што тврди компанијата, лоши перформанси. Според Затко, неговото јавно дојавување доаѓа откако тој се обидел да ги означи безбедносните пропусти на одборот на Твитер и да му помогне на Твитер да ги поправи годините технички недостатоци и наводното непочитување на претходниот договор за приватност со Федералната трговска комисија. Затко е застапуван од Whistleblower Aid, истата група која ја претставуваше свиркачот на Фејсбук, Френсис Хауген.
АРГУМЕНТИ ВО ПОЛЗА НА МАСК
Џон Тај, основач на Whistleblower Aid и адвокат на Затко, изјави за CNN дека Затко не бил во контакт со Маск и рече дека Затко го започнал процесот на кодошење пред да има какви било индикации за вмешаност на Маск со Твитер. Откако овој напис беше првично објавен, Алекс Спиро, адвокат на Маск, изјави за Си-Ен-Ен: „Веќе издадовме судски повик за г-дин Затко и го гледаме неговото излегување и на другите клучни вработени љубопитни во светлината на она што беа и наши наоди“.
Си-Ен-Ен побара коментар од Твитер за повеќе од 50 конкретни прашања во врска со обелоденувањето.
Во изјавата, портпаролот на Твитер изјави за Си-Ен-Ен дека безбедноста и приватноста се долгогодишни приоритети за компанијата. Твитер, исто така, рече дека компанијата обезбедува јасни алатки за корисниците да ја контролираат приватноста, таргетирањето на рекламите и споделувањето податоци и додаде дека создала внатрешни работни текови за да им обезбеди на корисниците да знаат дека кога ќе ги откажат своите сметки, Твитер ќе ги деактивира сметките и ќе започне процес на бришење. Твитер одби да каже дали обично го завршува процесот.
„Г-дин Затко беше отпуштен од неговата висока извршна функција во Твитер поради лошите перформанси и неефикасното раководство пред повеќе од шест месеци“, рече портпаролот на Твитер. „Иако немавме пристап до конкретните наводи кои се повикуваат, она што досега го видовме е лажен наратив за Твитер и приватноста и практиките за безбедност на податоците што е преполн со недоследности и неточности и нема важен контекст. Наводите на г-дин Затко и Се чини дека опортунистичкиот тајминг е дизајниран да го привлече вниманието и да нанесе штета на Твитер, неговите клиенти и неговите акционери. Безбедноста и приватноста се долго време приоритети на целата компанија на Твитер и ни претстои уште многу работа“.
Некои од најопасните тврдења на Затко потекнуваат од неговата очигледно напната врска со Параг Агравал, поранешен главен директор за технологија на компанијата, кој беше извршен директор откако Џек Дорси се повлече во ноември минатата година. Според обелоденувањето, Агравал и неговите поручници постојано го обесхрабрувале Затко да обезбеди целосно известување за безбедносните проблеми на Твитер до бордот на директори на компанијата. Извршниот тим на компанијата, наводно, му наредил на Затко да достави устен извештај за неговите првични наоди за безбедносната состојба на компанијата до одборот, наместо детална писмена сметка, му нареди на Затко свесно да презентира податоци кои биле внимателно избрани и погрешно претставени за да создаде лажна перцепција за напредокот на итни прашања за сајбер-безбедноста и отидоа зад грбот на Затко да го исчистат извештајот на консултантска фирма од трета страна за да се скрие вистинската големина на проблемите на компанијата.
СО ТВИТЕР ЌЕ СЕ ЗАНИМАВА И АМЕРИКАНСКАТА ВЛАДА
Обелоденувањето е генерално многу пољубезно кон Дорси, кој го ангажираше Затко и за кого Затко верува дека сакал да ги поправи проблемите во компанијата. Но, тоа го прикажува како крајно неангажиран во неговите последни месеци водење на Твитер – толку многу што некои високи вработени дури ја разгледаа можноста дека е болен.
Си-Ен-Ен побара коментар до Дорси. Лице запознаено со мандатот на Затко во Твитер изјави за Си-Ен-Ен дека компанијата истражила неколку тврдења што тој ги изнел околу времето кога бил отпуштен и на крајот ги нашол неубедливи; лицето додаде дека Затко на моменти немал разбирање за обврските на Твитер за FTC.
Затко верува дека неговото отпуштање било како одмазда за алармот за безбедносните проблеми на компанијата.
Острото обелоденување, кое вкупно изнесува околу 200 страници, вклучувајќи ги и придружните експонати беше испратено минатиот месец до голем број американски владини агенции и конгресни комисии, вклучително и Комисијата за хартии од вредност, Федералната трговска комисија и Министерството за правда. Постоењето и деталите за обелоденувањето претходно не беа пријавени. Си-Ен-Ен доби копија од обелоденувањето од висок помошник на демократите на Капитол Хил. ДИК, Министерството за правда и ФТЦ одбија да коментираат; Комитетот за разузнавање на Сенатот, кој доби копија од извештајот, сериозно го сфаќа обелоденувањето и организира состанок за да разговара за наводите, според Рејчел Коен, портпарол на комитетот.
Сенаторот Дик Дурбин, кој претседава со Комитетот за правосудство на Сенатот и исто така го прими извештајот, вети дека ќе истражи „и ќе преземе дополнителни чекори колку што е потребно за да се дојде до дното на овие алармантни наводи“.
Сенаторот Чак Грасли, главниот републиканец на истиот панел и страствен корисник на Твитер, исто така изрази длабока загриженост за наводите во изјава за Си-Ен-Ен.
„Земете технолошка платформа која собира огромни количества кориснички податоци, комбинирајте ја со нешто што изгледа како неверојатно слаба безбедносна инфраструктура и наполнете ја со агенда кај странските државни актери и ќе добиете рецепт за катастрофа“, рече Грасли. „Тврдењата што ги добив од свиркачот на Твитер предизвикуваат сериозни грижи за националната безбедност, како и прашања за приватноста, и тие мора дополнително да се истражат“.
КОЈ Е СВИРКАЧОТ ЗАТКО?
Затко првпат го привлече националното внимание во 1998 година, кога учествуваше на првите конгресни сослушувања за сајбер безбедноста. „Цел живот се трудев да пронајдам места каде што можам да одам и да направам разлика. Тоа го правев преку безбедносното поле. Тоа е мојот главен лост“, изјави тој за Си-Ен-Ен во интервјуто претходно овој месец.
Настаните што доведоа до неговата одлука да стане кодош започнаа пред тој да работи на Твитер, со разорен хак во 2020 година во кој Твитер сметките на некои од најпознатите луѓе во светот, вклучително и тогашниот претседателски кандидат Џо Бајден, поранешниот претседател Барак Обама, Ким Кардашијан и Маск, беа компромитирани. Твитер изјави за Си-Ен-Ен дека како одговор на инцидентот, компанијата почнала да го дели пристапот до алатките за поддршка на клиентите.
По нападот, Дорси го регрутирал Затко, познат „етички хакер“, кој стана инсајдер и извршен директор за сајбер-безбедност, кој претходно имал високи улоги во Гугл, Стрип и американското Министерство за одбрана, а кој за Си-Ен-Ен изјавил дека му било понудено висок функционер. Сајбер-позиција од првиот ден во администрацијата на Бајден.
Она што Затко вели дека го нашол е компанија со извонредно лоши безбедносни практики, вклучително и овозможување на илјадници вработени во компанијата – што изнесува приближно половина од работната сила на компанијата – пристап до некои од критичните контроли на платформата. Неговото обелоденување ги опишува неговите севкупни наоди како „огромни недостатоци, небрежност, намерно незнаење и закани за националната безбедност и демократијата“.
По упадот во Конгресот на 6 јануари, Затко беше загрижен за можноста некој во Твитер кој сочувствува со бунтовниците може да се обиде да манипулира со платформата на компанијата, според неговото обелоденување. Тој се обиде да го ограничи внатрешниот пристап што им овозможува на инженерите на Твитер да прават промени во платформата, позната како „производна средина“.
Но, се вели во обелоденувањето, Затко набрзо дознал дека „е невозможно да се заштити производната средина. Сите инженери имаа пристап. Немаше евиденција за тоа кој влегол во околината или што правел… Никој не знаел каде стојат податоците или дали се беше критично, и сите инженери имаа некаква форма на критичен пристап до производната средина“. На Twitter, исто така, му недостасуваше способноста да ги повика работниците одговорни за пропустите во безбедноста на информациите, бидејќи има мала контрола или видливост на индивидуалните работни компјутери на вработените, тврди Затко, повикувајќи се на внатрешни извештаи за сајбер-безбедност во кои се проценува дека 4 од 10 уреди не ги исполнуваат основните безбедносни стандарди.
Слабата серверска инфраструктура на Твитер е посебна, но подеднакво сериозна ранливост, се тврди во обелоденувањето. Околу половина од 500.000 сервери на компанијата работат на застарен софтвер кој не поддржува основни безбедносни карактеристики како што се шифрирање за складирани податоци или редовни безбедносни ажурирања од продавачите, според писмото до регулаторите и е-поштата во февруари што Затко му напиша на Патрик Пишет, одбор на Твитер член, што е вклучено во обелоденувањето.
Компанијата, исто така, нема доволно отпуштања и процедури за да се рестартира или да се опорави од падовите на центарот за податоци, се вели во обелоденувањето на Затко, што значи дека дури и мали прекини на неколку центри за податоци во исто време може да ја исклучат целата услуга на Твитер, можеби засекогаш.
Твитер не одговори на прашањата за ризикот од прекин на центарот за податоци, но за Си-Ен-Ен изјави дека луѓето од инженерските тимови и производните тимови на Твитер се овластени да пристапат до производствената средина доколку имаат специфично деловно оправдување за тоа. Вработените на Twitter користат уреди надгледувани од други ИТ и безбедносни тимови со моќ да спречат уред да се поврзе со чувствителни внатрешни системи доколку работи застарен софтвер, додаде Twitter.
Компанијата, исто така, рече дека користи автоматизирани проверки за да се осигура дека лаптопите со застарен софтвер не можат да пристапат до производствената средина и дека вработените може да прават промени на живиот производ на Twitter само откако кодот ќе исполни одредени барања за водење евиденција и преглед.
Твитер има алатки за внатрешна безбедност кои компанијата ги тестира редовно, а на секои две години надворешни ревизори, вели упатено лице за мандатот на Затко во компанијата. Лицето додаде дека некои од статистиките на Затко во врска со безбедноста на уредот немаат кредибилитет и се изведени од мал тим кој не правилно ги прикажал постојните безбедносни процедури на Твитер.
Но, загриженоста за безбедноста на Твитер излезе на виделина пред 2020 година. Во 2010 година, ФТЦ поднесе жалба против Твитер за лошото постапување со приватните информации на корисниците и прашањето за премногу вработени кои имаат пристап до централните контроли на Твитер. Жалбата резултираше со наредба за согласност на FTC финализирана следната година во која Твитер вети дека ќе го исчисти својот чин, вклучително и со создавање и одржување „сеопфатна програма за безбедност на информациите“.
Затко тврди дека и покрај тврдењата на компанијата за спротивното, таа „никогаш не била во согласност“ со она што FTC го бараше пред повеќе од 10 години. Како резултат на наводните неуспеси да ги реши ранливостите покренати од FTC, како и други недостатоци, вели тој, Твитер трпи „аномално висока стапка на безбедносни инциденти“, приближно еден неделно доволно сериозен за да бара обелоденување на владините агенции. „Врз основа на моето професионално искуство, врсниците немаат толкава големина или обем на инциденти“, напиша Затко во февруарското писмо до управниот одбор на Твитер, откако беше отпуштен од Твитер во јануари.
Влогот за обелоденувањето на Затко е огромен. Тоа би можело да доведе до нови казни од милијарди долари за Твитер доколку се утврди дека ги прекршил своите законски обврски, според Џон Лејбовиц, кој беше претседател на ФТЦ во времето на првичната наредба за согласност на Твитер во 2011 година. „Ако има прекршување овде – и тоа е големо ако – тогаш мислам дека FTC треба многу сериозно да размисли не само да ја казни корпорацијата туку и да ги стави под ред одговорните директори“.
ЈОН ЛЕЈБВИЦ, ПОРАНЕШЕН ПРЕТСЕДАТЕЛ СО ФТЦ
Агенцијата сега има уште една можност да ѝ покаже на технолошката индустрија дека е сериозна во врска со тоа да ги бара платформите одговорни, додаде Лејбовиц, откако официјалните лица одлучија да не ги именуваат главните директори на Фејсбук, вклучувајќи ги Марк Цукерберг и Шерил Сандберг, во спогодбата за приватност од 5 милијарди долари на FTC со таа компанија во 2019 година.
„Едно од големите разочарувања во случајот за прекршување на налогот на Фејсбук беше тоа што ФТЦ ги отпушти директорите; тие требаше да бидат именувани“, изјави Лејбовиц за Си-Ен-Ен во интервјуто. „И ако има прекршување овде – и тоа е големо ако – тогаш мислам дека FTC треба многу сериозно да размисли не само да ја казни корпорацијата, туку и да ги стави под ред одговорните директори“.
Твитер изјави за Си-Ен-Ен дека евиденцијата за усогласеност со FTC зборува сама по себе, повикувајќи се на ревизии од трета страна поднесени до агенцијата според налогот за согласност од 2011 година во кој рече дека Затко не учествувал. Твитер, исто така, рече дека е во согласност со релевантните правила за приватност и дека е транспарентен со регулаторите за напорите да ги поправи сите недостатоци во неговите системи.
Наводите на Затко делумно се засноваат на неуспехот да сфати како функционираат постоечките програми и процеси на Твитер за да се исполнат обврските за FTC на Твитер, изјави за Си-Ен-Ен личност запознаена со неговиот мандат, велејќи дека недоразбирањето го натерало да изнесува неточни тврдења за нивото на усогласеност на компанијата.
ШПИОНСКИ ЗАКАНИ
Твитер е исклучително ранлив на експлоатација на странска влада на начини кои ја поткопуваат националната безбедност на САД, а компанијата може дури и да има странски шпиони во моментов на нејзиниот платен список, се наведува во обелоденувањето.
Во извештајот на свиркачот се вели дека американската влада доставила конкретни докази на Твитер непосредно пред отпуштањето на Затко дека барем еден од нејзините вработени, можеби повеќе, работел за разузнавачка служба на друга влада. Извештајот не кажува дали Твитер веќе бил свесен или дали последователно дејствувал според советот.
Минатата година, пред руската инвазија на Украина, Агравал – тогашниот главен директор за технологија на Твитер – му предложил на Затко Твитер да ги исполни руските барања што може да резултира со широка цензура или надзор на платформата, тврди Затко.
Откривањето не дава детали за предлогот на Агравал. Меѓутоа, минатото лето Русија усвои закон со кој се врши притисок врз технолошките платформи да отворат локални канцеларии во земјата или да се соочат со потенцијални забрани за рекламирање, потег што западните безбедносни експерти велат дека има за цел да и даде на Русија поголема моќ над американските технолошки компании.
Иако предлогот на Агравал на крајот беше отфрлен, тоа сепак беше алармантен знак за тоа колку далеку Твитер е подготвен да оди во потрага по раст, според Затко. „Фактот што сегашниот извршен директор на Твитер дури и предложи Твитер да стане соучесник со режимот на Путин е причина за загриженост за ефектите на Твитер врз националната безбедност на САД“, се вели во обелоденувањето на Затко.
Извештајот на Затко станува јавен само две недели откако поранешен менаџер на Твитер беше осуден за шпионирање за Саудиска Арабија.
Случајот со Саудиска Арабија ја нагласува сериозноста на наводите што Затко сега ги изнесува на Твитер. Неговиот извештај може дополнително да ја разгори двопартиската загриженост во Вашингтон за странските противници и заканите за сајбер безбедноста што тие ги претставуваат за Американците, почнувајќи од кражба на податоци на американските граѓани до манипулирање со американските гласачи или крадење технологија и трговски тајни.
Твитер не одговори на конкретни прашања за неговите наводни ранливости на странски разузнавачки служби.
ЕЛЕМЕНТОТ НАРЕЧЕН ИЛОН МАСК
Откривањето на Затко доаѓа во особено случајен момент за Маск, кој е вклучен во правна битка со Твитер поради неговиот обид да се откаже од купувањето на компанијата. Маск го обвини Твитер дека лаже за бројот на спам-ботови на неговата платформа, прашање за кое тој тврди дека треба да му дозволи да го раскине договорот.
Иако обврзувачкиот договор за купување што Маск го потпиша со Твитер во април не вклучува никакви исклучоци поврзани со ботови, милијардерот тврди дека бројот на ботови на платформата влијае на корисничкото искуство и дека имањето повеќе ботови од претходно познатото би можело да влијае на долгото време на компанијата. -рочна вредност. Откако Маск се пресели да го прекине купувањето, Твитер одговори со тужба во која се тврди дека тој користи ботови како изговор за да излезе од зделката за која сега има каење на купувачите по неодамнешниот пад на пазарот, и побара од судот да го принуди да затворете го договорот. Случајот треба да оди на судење во Канцеларискиот суд во Делавер во октомври.
Корисничките броеви се витални информации за секој бизнис на социјалните медиуми, бидејќи приходите од реклами зависи од тоа колку луѓе потенцијално би можеле да видат реклама. Но, бројките за тоа колку корисници има услугата, или колку луѓе всушност гледаат дадена реклама на страницата, се познати како несигурни во технолошката и медиумската индустрија поради манипулации и грешки.
Сам меѓу компаниите за социјални медиуми, Твитер ги известува своите кориснички броеви на инвеститорите и огласувачите користејќи мерење што го нарекува дневни активни корисници кои можат да се монетизираат, или mDAU. Неговите ривали едноставно ги бројат и ги пријавуваат сите активни корисници; до 2019 година, Твитер работеше и на тој начин. Но, тоа значеше дека бројките на Твитер биле предмет на значителни промени во одредени ситуации, вклучително и отстранување на големите мрежи на бот. Така Твитер се префрли на mDAU, за кои вели дека ги брои сите корисници на кои може да им се прикаже реклама на Твитер – оставајќи ги сите сметки кои поради некоја причина не можат, на пример затоа што се знае дека се ботови, во посебна корпа, според на обелоденувањето на Затко.
Компанијата постојано известуваше дека помалку од 5% од нејзините mDAU се лажни или спам сметки, а лице запознаено со ова прашање ја потврди таа проценка за CNN оваа недела и посочи на други обелоденувања на инвеститорите велејќи дека бројката се потпира на значителна проценка што можеби не точно ја одразуваат реалноста. Но, обелоденувањето на Затко тврди дека со пријавување на ботови само како процент од mDAU, наместо како процент од вкупниот број сметки на платформата, Твитер ја прикрива вистинската скала на лажни и спам сметки на услугата, потег што Затко тврди дека е намерно погрешно.
Затко вели дека почнал да прашува за распространетоста на бот-сметки на Твитер на почетокот на 2021 година, а шефот за интегритет на страницата на Твитер му рекол дека компанијата не знае колку вкупно ботови има на нејзината платформа. Тој тврди дека се оддалечил од разговорите со тимот за интегритет со разбирање дека компанијата „немала апетит правилно да ја мери распространетоста на ботови“, делумно затоа што ако вистинската бројка стане јавна, тоа може да им наштети на вредноста и имиџот на компанијата.
Експертите за неавтентично однесување на интернет велат дека може да биде тешко да се квантифицираат „ботови“ бидејќи не постои широко договорена дефиниција за терминот и затоа што лошите актери постојано ја менуваат својата тактика. Исто така, има многу безопасни ботови на Твитер (и на интернет), како што се автоматизирани сметки за вести, а Твитер нуди опција за пријавување за да им овозможи на таквите сметки транспарентно да се етикетираат како автоматизирани. Твитер изјави за Си-Ен-Ен дека тврдењето дека не знае колку ботови има на неговата платформа нема контекст, повторувајќи дека не сите ботови се лоши и додавајќи дека за да се фокусира на вкупниот број на ботови на Твитер ќе ги вклучи оние што компанијата можеби веќе ги идентификувала. и презеде мерки против. Компанијата, исто така, не верува дека може да ја фати секоја спам-сметка на платформата, рече Твитер, поради што ја известува својата бројка помала од 5%, што одразува рачна проценка, во своите финансиски документи.
Но, Затко изјави за Си-Ен-Ен дека мисли дека сè уште ќе има вредност во обидот да се измери вкупниот број на спам, лажни или на друг начин потенцијално штетни автоматизирани сметки на платформата. „Извршниот тим, одборот, акционерите и корисниците заслужуваат искрен одговор што е тоа што трошат што се однесува до податоците и информациите и содржината [на платформата… Барем од моја гледна точка, Сакам да инвестирам во компанија каде што знам што всушност се случува затоа што сакам стратешки да инвестирам во долгорочната вредност на една организација“, рече тој.
Твитер вели дека дозволува ботови на својата платформа, но неговите правила ги забрануваат оние кои се впуштаат во спам или манипулација со платформа. Но, како и со сите правила на платформите за социјални медиуми, предизвикот често лежи во спроведувањето на нивните политики.
Компанијата вели дека редовно предизвикува, суспендира и отстранува сметки вклучени во манипулација со спам и платформи, вклучително и обично отстранување на повеќе од еден милион спам сметки секој ден. Твитер рече дека вкупниот број на ботови на платформата не е корисна бројка. Компанијата одби да одговори на прашањата за вкупниот број на сметки на платформата или просечниот број на нови сметки додадени на платформата дневно како контекст околу нејзината дневна бројка за бришење бот.
Но, фрлајќи сомнеж во способноста на Твитер да го процени вистинскиот број на лажни и спам сметки, наводите на Затко би можеле да обезбедат муниција на централното тврдење на Маск дека бројката е многу поголема отколку што Твитер јавно објави.
Со излегувањето во јавност, вели Затко, тој верува дека ја врши работата за која бил ангажиран за платформа за која вели дека е клучна за демократијата. „Џек Дорси ме побара и ме замоли да дојдам и да извршам критична задача на Твитер. Се потпишав за да го направам тоа и верувам дека сè уште ја извршувам таа мисија“, рече тој.