Potencjalne błędy w zabezpieczeniach Twittera — co musisz wiedzieć
Tydzień temu były dyrektor cyberbezpieczeństwa Twittera podniósł alarm o potencjalnych zaniedbaniach w swoim dawnym miejscu pracy. Oskarżył także spółkę o okłamywanie amerykańskich regulatorów w kwestii stanu platformy.
Peiter Zatko, posługujący się aliasem “Mudge”, twierdzi że został zwolniony z Twittera w styczniu b.r. za odmowę przemilczenia rażących niedopatrzeń w zabezpieczeniach platformy. Bezpośrednio po zwolnieniu złożył 200-stronicową skargę w amerykańskiej Komisji Papierów Wartościowych i Giełd w której dokładnie opisuje złe praktyki w firmie.
Wśród oskarżeń jakie Zatko rzuca swojemu byłemu pracodawcy znajdują się praktyka masowego rozdawania dostępu do danych wrażliwych, okłamywanie Federalnej Komisji Handlu i ignorowanie gigantycznego problemu botów i spamu na platformie. Ten ostatni zarzut został wystosowany również przez Elona Muska podczas jego niekończących się przygód z kupnem Twittera. Jego oskarżenia zostały jednak skrytykowane przez ekspertów.
Co oznaczają te oskarżenia dla zwyczajnych użytkowników Twittera? O tym piszemy w dzisiejszym artykule.
Potencjalne złe praktyki Twittera — co musisz wiedzieć
Najbardziej poważnym zarzutem wobec Twittera jest opisywana praktyka masowego udzielania dostępu do danych wrażliwych. Według Zatko nawet połowa stałych pracowników firmy ma niczym nieskrępowany dostęp do prywatnych danych użytkowników, takich jak numery telefonu.
W prawdziwych liczbach oznacza to, że około 3500 osób ma dostęp do danych, których nie potrzebuje. Ta liczba jest porażająca — w żadnym scenariuszu tyle osób nie powinno mieć dostępu do wrażliwych danych wszystkich użytkowników. Każda z nich jest bowiem potencjalnym punktem zagrożenia. Wystarczy, że złamane zostanie jedno z tych 3500 haseł, aby doprowadzić do gigantycznego wycieku danych.
To nie jest pierwszy raz kiedy praktyki bezpieczeństwa Twittera są pod lupą władz i regulatorów. Federalna Komisja Handlu wymusiła na Twitterze lepsze praktyki bezpieczeństwa ponad dekadę temu, jeszcze w 2010 roku. Według Peitera Zatko, firma regularnie okłamywała Komisję o stanie zabezpieczeń.
Jeśli oskarżenia byłego szefa bezpieczeństwa Twittera są prawdziwe, perspektywa masowego wycieku danych z platformy nie jest kwestią “jeśli”, a “kiedy”.
Czy oskarżenia wpłyną na Twittera?
Jest to bardzo prawdopodobne. Jak pisaliśmy już wcześniej, oskarżenia okłamywania regulatorów i inwestorów były już wcześniej rzucane w kierunku Twittera. Ostatnio Elon Musk zakończył długą sagę zakupu platformy, tłumacząc decyzję rzekomo fałszywymi danymi, jakie otrzymał od spółki.
Jeśli oskarżenia Peitera Zatko są prawdziwe i faktycznie dojdzie do wycieku danych, konsekwencje będą poważne. Według danych Statisty, Twitter ma ponad 440 milionów użytkowników na całym świecie. Wyciek na taką skalę jest zjawiskiem praktycznie niespotykanym. Ciężko zatem z jakąkolwiek pewnością opisać potencjalne konsekwencje.
Oczywiście, możemy spodziewać się masowych pozwów oraz całej serii nowych ustaw na wzór RODO, które będą wymuszały jeszcze więcej bezpieczeństwa danych. Przetrwanie tak katastroficznego wycieku potrafi zabić nawet tak dużą platformę jak Twitter.
To, co wiemy na pewno, to że Twittera czeka śledztwo. Skargi, jakie złożył Zatko wymuszają na regulatorach reakcję. Jeśli spółka okaże się nie spełniać wymogów bezpieczeństwa, jakie zostały na niego narzucone, zostanie obciążona gigantycznymi karami pieniężnymi.
Oskarżyciel: haker, który stał się ekspertem od cyberbezpieczeństwa
Peiter Zatko jest wysoce rozpoznawalną postacią w świecie cyberbezpieczeństwa i społeczności hakerów. To właśnie jego reputacja zapewniła mu wysoką posadę w Twitterze. To właśnie o niego prosił Jack Dorsey, gdy szukał nowego dyrektora ds. bezpieczeństwa po złamaniu zabezpieczeń platformy w lipcu 2020 roku.
Niestety, Jack Dorsey odszedł z firmy, a jego następca, Parag Agrawal zwolnił Zatko w styczniu tego roku. W odpowiedzi na oskarżenia firma wystosowała komunikat, w którym opisuje treść skarg Zatko jako “pełne błędów”. W odpowiedzi społeczność ekspertów od cyberbezpieczeństwa jednogłośnie opowiedziała się za Zatko i jego oceną stanu rzeczy
Sprawę poważnie potraktował też Kongres Stanów Zjednoczonych, przed którym Zatko będzie przemawiał we wrześniu.
Co to oznacza dla świata mediów społecznościowych?
Niestety, tego typu historie będą się powtarzać tak długo, jak firmy prowadzące serwisy społecznościowe będą przedkładać zyski nad bezpieczeństwo użytkowników. Widzieliśmy takich sytuacji tuziny — w zeszłym roku głośno było o Facebooku.
Ignorowanie kwestii bezpieczeństwa zawsze kończy się tragedią. Przypomnijcie sobie w końcu rok 2018 — pamiętacie, jak wielkim skandalem była sprawa Cambridge Analytica? Do dzisiaj czujemy jego skutki!
Jeśli oskarżenia Zatko się potwierdzą, Twitter będzie w gigantycznych tarapatach. W najlepszym wypadku skończy się na gigantycznych karach pieniężnych za łamanie nakazów Federalnej Komisji Handlu. W najgorszym wypadku, Twitter czeka gruntowne przebudowanie i kompletna zmiana kadry nadzorczej.
Tego typu historie to cena, jaką płacimy za uczestnictwo w ekosystemie, który buduje tuzin gigantycznych korporacji bez jakiegokolwiek nadzoru. Co gorsza, korporacje te reagują groźbami odcięcia usług na dowolne próby regulacji prawnej. Dlatego coraz więcej ekspertów woła o powrót do zdecentralizowanego internetu. Nawet Jack Dorsey wyraził taki sentyment kilka lat temu!
Twitter wants to develop an open, decentralized, federated social media standard…and then join ithttps://t.co/nHdcSMbstK pic.twitter.com/n7bu3G1Acy
— Cory Doctorow AFK until Sept 7 (@doctorow) December 11, 2019
W odpowiedzi na te zawołania powstały otwarte projekty, takie jak Mastodon i Peertube. Mają one na celu postawienie alternatywy dla platform zarządzanych przez duże korporacje. W starciu z liderami rynku mają przed sobą nierówną walkę — dlatego skupiają się na promowaniu cech, które odróżniają je od wielkich platform. Jedną z nich jest silny nacisk na ochronę danych prywatnych użytkowników.
Miną lata (jeśli nie dekady!) zanim zastąpimy mainstreamowe platformy społecznościowe otwartymi alternatywami. W międzyczasie, obecni operatorzy portali powinni na siebie uważać. Dalsze potknięcia na froncie ochrony danych wrażliwych bez wątpienia doprowadzą do kolejnych fal regulacji i procesów sądowych — co udowodniły poprzednie tego typu zdarzenia. Wciąż żyjemy w cieniu skandalu Cambridge Analytica. Nikt nie chce być odpowiedzialnym za następne wydarzenie tej skali.