Twitter: Ex-chefe de segurança diz que empresa mentiu sobre bots e segurança

Os funcionários passam por um log iluminado do Twitter ao deixar a sede da empresa em San Francisco em 13 de agosto de 2019. - (Foto de Glenn CHAPMAN/AFP) (Foto de GLENN CHAPMAN/AFP via Getty Images)

O Twitter escondeu práticas de segurança negligentes, enganou os reguladores federais sobre sua segurança e não conseguiu estimar adequadamente o número de bots (robos) em sua plataforma, segundo o testemunho do ex-chefe de segurança do twitter, o lendário especialista em cibersegurança Peiter “Mudge” Zatko. As alegações explosivas podem ter enormes consequências, incluindo multas federais e o possível desenrolar da oferta do CEO da Tesla, Elon Musk, de comprar o Twitter.

 

 

 

Zatko abre queixa formal contra o Twitter

Zatko foi demitido pelo Twitter em janeiro e afirma que isso foi uma retaliação por sua recusa em ficar calado sobre as vulnerabilidades da empresa. No mês passado, ele apresentou uma queixa à Comissão de Valores Mobiliários dos EUA (SEC) que acusa o Twitter de enganar acionistas e violar um acordo que fez com a Comissão Federal de Comércio dos EUA (FTC) para manter determinadas normas de segurança. Suas queixas, constituem mais de 200 páginas, foram obtidas pela CNN pelo The Washington Post e publicadas em forma redigida esta manhã.

Entrevista de Zatko para CNN e comentário ao The Washington Post

Em entrevista à CNN, Zatko disse que ingressou no Twitter em 2020 a pedido do então CEO Jack Dorsey, logo após a empresa ser atingida por um hack maciço em que contas pertencentes a figuras como Barack Obama, Bill Gates e Kanye West foram comprometido. Zatko diz que ingressou no Twitter porque acredita que a plataforma é um “recurso crítico” para o mundo, mas ficou desiludido com a recusa do CEO Parag Agrawal em resolver as muitas falhas de segurança da empresa.

Em uma troca de e-mails entre o denunciante Peiter Zatko e o CEO do Twitter Parag Agrawal, Zatko expressa confusão em torno das expectativas de documentos corretivos.

“Este nunca seria meu primeiro passo, mas acredito que ainda estou cumprindo minha obrigação com Jack e com os usuários da plataforma”, disse Zatko ao The Washington Post sobre sua decisão de se tornar um denunciante. “Eu quero terminar o trabalho que trouxe, que é melhorar o lugar.”

The Washington Post detalha denúncia de Zatko contra Twitter

A matéria do The Washington Post é rica em detalhes, inclui 3 documentos relacionados a denúncia de Zatko à SEC e um relatório final que o Twitter o solicitou durante seu desligamento da empresa.

As divulgações de Zatko à SEC contêm muitos relatórios e acusações condenatórias, mas estas são algumas das mais significativas:

  • Acesso indiscriminado . Uma parte significativa da vulnerabilidade do Twitter é que muitos funcionários têm acesso a sistemas críticos, afirma Zatko em sua reclamação. Ele afirma que cerca de metade dos cerca de 7.000 funcionários em tempo integral do Twitter têm acesso a dados pessoais confidenciais dos usuários (como números de telefone) e software interno (para alterar o funcionamento do serviço) e que esse acesso não é monitorado de perto. Ele também alega que milhares de laptops contêm cópias completas do código-fonte do Twitter.
  • Enganar a FTC . Em 2010, o Twitter acertou acusações com a FTC de que não protegeu as informações pessoais dos consumidores – um exemplo significativo e precoce de reguladores governamentais controlando a Big Tech. A reclamação de Zatko afirma que o Twitter fez repetidamente “declarações falsas e enganosas” aos usuários e à FTC, violando este acordo.
  • Ignorando bots . O Twitter afirmou repetidamente que menos de 5% de seus usuários ativos diários mensais são bots, contas falsas ou spam. A reclamação de Zatko diz que o método do Twitter de medir esse número é enganoso e que os executivos são incentivados (com bônus de até US$ 10 milhões) a aumentar a contagem de usuários em vez de remover bots de spam.
  • Agentes do governo . O Twitter é uma ferramenta fundamental para compartilhar notícias e organizar protestos, tornando-se um alvo maduro para governos que buscam reprimir a dissidência. A queixa de Zatko afirma que ele acredita que o governo indiano forçou o Twitter a contratar um agente do governo, que então teve “acesso a grandes quantidades de dados confidenciais do Twitter”.
  • Falha ao excluir . A reclamação afirma que o Twitter, no passado, não conseguiu excluir os dados dos usuários quando solicitados porque esses registros estão espalhados muito amplamente entre os sistemas internos para serem rastreados adequadamente. Um funcionário atual disse ao The Washington Post que a empresa acabou de concluir um projeto, conhecido como Project Eraser, para garantir a exclusão adequada dos dados do usuário.

O que o Twitter fala sobre as acusações?

Em resposta à reclamação de Zatko, o Twitter acusou seu ex-chefe de segurança de sensacionalismo e apresentação seletiva de informações. Um porta-voz disse à CNN:

"Senhor. Zatko foi demitido de seu cargo de executivo sênior no Twitter por mau desempenho e liderança ineficaz há mais de seis meses. Embora não tenhamos acesso às alegações específicas mencionadas, o que vimos até agora é uma narrativa sobre nossas práticas de privacidade e segurança de dados repleta de inconsistências e imprecisões e carece de contexto importante. As alegações de Zatko e o momento oportunista parecem destinados a chamar a atenção e infligir danos ao Twitter, seus clientes e acionistas. Segurança e privacidade são prioridades de toda a empresa no Twitter e ainda temos muito trabalho pela frente.”

Multas pesadas podem cair sobre o Twitter

As denúncias de Zatko são explosivas e terão um efeito significativo na empresa. A FTC está atualmente analisando a reclamação, de acordo com fontes citadas pelo The Washington Post , e provavelmente cobrará multas significativas contra o Twitter se as acusações de Zatko forem comprovadas como corretas.

Musk se interessa pelo assunto

A reclamação também afetará a luta contínua entre Musk e o Twitter. Musk está atualmente tentando se livrar de um acordo de US$ 44 bilhões para comprar a empresa, justificando a decisão com uma acusação de que o Twitter está mentindo sobre o verdadeiro número de contas de bot e spam na plataforma. “Já emitimos uma intimação para Zatko”, disse Alex Spiro, advogado que representa Musk, em comunicado, “e achamos sua saída e a de outros funcionários-chave curiosos à luz do que descobrimos”.

O que você acha sobre este assunto?
Curta, comenta e compartilhe

Related posts

Mais de 20 organizações foram invadidas por Bug do Azure AD

Microsoft vence batalha contra FTC e pode adquirir Activision

Microsoft vs FTC – Dia 5: A batalha final