L’ex capo della sicurezza di Twitter, Peiter “Mudge” Zatko, ha accusato il suo ex datore di lavoro di negligenza in materia di sicurezza informatica in una denuncia esplosiva ottenuta per la prima volta dalla CNN e dal Washington Post.
Zatko, noto hacker, è stato assunto da Twitter per dirigere la divisione sicurezza dell’azienda alla fine del 2020, mesi dopo una violazione molto pubblica che ha visto gli hacker dirottare gli account Twitter di alcuni dei personaggi più famosi del mondo, tra cui Joe Biden ed Elon Musk. È stato licenziato dall’azienda meno di due anni dopo.
Sebbene la sua permanenza in Twitter sia stata breve, Zatko afferma di essere stato testimone di “gravi carenze, negligenza, ignoranza intenzionale e minacce alla sicurezza nazionale e alla democrazia”, secondo la sua denuncia datata 6 luglio e presentata alla Securities and Exchange Commission (SEC), alla Federal Trade Commission (FTC) e al Dipartimento di Giustizia degli Stati Uniti. Zatko ha dichiarato al Washington Post che la sua denuncia pubblica arriva dopo che i suoi tentativi di segnalare le falle nella sicurezza al consiglio di amministrazione di Twitter sono stati ignorati.
Nella denuncia, esaminata da TechCrunch, Zatko sostiene che Twitter mancava di controlli di sicurezza di base. Ha affermato che migliaia di computer portatili dei dipendenti contenevano copie complete del codice sorgente di Twitter e che circa un terzo di questi dispositivi bloccavano le correzioni automatiche di sicurezza, avevano i firewall di sistema disattivati e l’accesso al desktop remoto abilitato per scopi non approvati. Zatko ha anche accusato l’azienda di non aver monitorato attivamente ciò che i dipendenti facevano sui loro computer. Di conseguenza, “è stato ripetutamente riscontrato che i dipendenti installavano intenzionalmente spyware sui loro computer di lavoro su richiesta di organizzazioni esterne”, si legge nella denuncia.
Zatko sostiene inoltre che circa 5.000 dipendenti a tempo pieno avevano ampio accesso al software interno dell’azienda e che tale accesso non era strettamente monitorato, dando loro la possibilità di accedere a dati sensibili e di alterare il funzionamento del servizio.
Durante il periodo trascorso in azienda, Zatko ha dichiarato di essersi imbattuto in una serie di vulnerabilità “in attesa di essere scoperte”. Ha detto di aver scoperto che la metà dei 500.000 server dei data center dell’azienda funzionano con software obsoleti che non supportano le funzioni di sicurezza di base, come la crittografia per i dati memorizzati, o non ricevono più aggiornamenti di sicurezza regolari dai loro fornitori. Questo ha fatto sì che Twitter soffrisse di un “tasso anomalamente alto” di incidenti di sicurezza, ha detto Zatko, e “ragionevolmente temeva che Twitter potesse subire un hack di livello Equifax“, riferendosi alla violazione dell’agenzia di credito del 2017 che ha portato al furto di quasi 150 milioni di informazioni personali di americani.
La denuncia sostiene che l’azienda ha avuto circa un incidente di sicurezza ogni settimana abbastanza grave da obbligare Twitter a segnalarlo alle agenzie governative.
“Solo nel 2020, Twitter ha avuto più di 40 incidenti di sicurezza, il 70% dei quali legati al controllo degli accessi“, si legge nella denuncia. “Tra questi, 20 incidenti sono stati definiti come violazioni; tutti, tranne due, erano legati al controllo degli accessi”.
Oltre a denunciare gravi carenze nella sicurezza informatica, Zatko sostiene anche che il governo indiano ha costretto Twitter ad assumere uno dei suoi agenti e che l’azienda ha ripetutamente violato i termini di un accordo del 2011 con la FTC. La denuncia sostiene che Twitter non cancella in modo affidabile i dati degli utenti – compresi i messaggi diretti – dopo la cancellazione dei loro account, in alcuni casi perché l’azienda ha perso traccia delle informazioni, e che ha ingannato le autorità di regolamentazione sul fatto che cancella i dati come è tenuto a fare.
La denuncia ha anche potenziali implicazioni per la battaglia legale di Twitter con Musk, che sta cercando di uscire da un contratto di 44 miliardi di dollari per acquistare la piattaforma di social media. Zatko sostiene che i dirigenti di Twitter non hanno le risorse per comprendere appieno il numero reale di bot sulla piattaforma e non sono stati motivati a farlo.
La portavoce di Twitter, Madeline Broas, ha dichiarato a TechCrunch che: “Il signor Zatko è stato licenziato dal suo ruolo di dirigente senior di Twitter nel gennaio 2022 per una leadership inefficace e per scarse prestazioni. Quello che abbiamo visto finora è una falsa narrazione su Twitter e sulle nostre pratiche di privacy e sicurezza dei dati che è piena di incoerenze e imprecisioni e manca di un contesto importante. Le accuse del signor Zatko e il suo tempismo opportunistico sembrano progettati per catturare l’attenzione e infliggere danni a Twitter, ai suoi clienti e ai suoi azionisti. La sicurezza e la privacy sono da tempo le priorità di Twitter e continueranno ad esserlo”.
Musk ha giocato con Twitter ed ora paga penale. Ritirata l’offerta da 44 miliardi
