A Twitter korábbi biztonsági vezetője, Peiter Zatko, más néven „Mudge” tanúskodott a szenátusi testület előtt (videó) Kedden a közösségi média cégnél tapasztalt széleskörű biztonsági hiányosságok miatt. Tanúvallomása kibővült a 200+ oldalas bejelentői panasz múlt hónapban benyújtották a Kongresszusnak.
Zatko, aki volt A Twitter biztonsági vezetője 2020 novemberétől a 2022. januári kirúgásig állítólagos „szélsőséges, kirívó hiányosságok” a felhasználói adatvédelem, a digitális és fizikai biztonság, valamint a platform integritása/tartalom-moderálása terén.
„Amikor csatlakoztam a Twitterhez, rájöttem, hogy ez a rendkívül befolyásos vállalat több mint egy évtizeddel lemaradt az ipari biztonsági szabványoktól” – mondta bizonyság.
Nincs keret a felhasználói adatok védelmére
A Twitter közösségimédia-platformként a felhasználói információk óriási tárházán ül, mint például a felhasználó telefonszáma, a felhasználó jelenlegi és múltbeli IP-címe, amellyel a Twitterhez csatlakozott, jelenlegi és korábbi e-mail címek, a személy IP-alapú hozzávetőleges tartózkodási helye. címek, a felhasználó nyelve, valamint a személy által használt eszközzel vagy böngészővel kapcsolatos információk.
Ezen információk védelme kritikus fontosságú. A rossz kezekben lévő információk felhasználhatók arra, hogy az egyes felhasználókat elbizonytalanítsák, és feltárják őket a fizikai sérülésekkel szemben. A kommunikáció olyan információkat fedhet fel, amelyeket a felhasználók esetleg nem akarnak nyilvánosságra hozni.
A Twitter nem tudja, „mijük van, hol él, vagy honnan származik” – mondta Zatko a kongresszusi képviselőknek tanúvallomása során. – És így nem meglepő módon nem tudják megvédeni.
Nincs hozzáférési napló
Az adatvédelem egyik alapelve a hozzáférés-szabályozás, hogy legyen mód annak nyomon követésére, hogy valaki hozzáfér-e olyan információkhoz, amelyeket nem kellene. A Twitteren nem volt ilyen naplózás, mondta Zatko, és azt állította, hogy a Twitter nem láthatta, hogy bárki mit csinál az adatokkal.
Az alkalmazottak „túl sok adathoz férnek hozzá” – mondta Zatko. Az információ a Twitter munkatársainak nagyjából fele, vagyis körülbelül 4,000 alkalmazottja számára elérhető, a mérnökök pedig alapértelmezés szerint hozzáférnek az adatokhoz – mondta.
Az ellenőrzések hiánya triviálissá tette a fiókok átvételét. „Nem túlzás azt állítani, hogy a vállalaton belüli alkalmazott átveheti az összes szenátor számláit ebben a szobában” – mondta Zatko. "Nem számít, kinek van kulcsa, ha nincs zár az ajtókon."
Ez a forgatókönyv nem olyan távoli. Zatko nem sokkal egy 2020-as incidens után érkezett a Twitterre, amikor egy csoport tinédzser hozzáfért egy belső eszközhöz, majd egy kriptovaluta-átverés részeként átvette a Twitter nagy horderejű felhasználók fiókjait.
„A kutatásból, amelyet azután koordináltam 2020 esemény, nyilvánvaló volt, hogy a Twitter nem rendelkezik megfelelő privilegizált felhasználókezelési vezérlők sem a fejlesztők és a rendszergazdák kötelességpolitikáinak szétválasztása” – mondta korábban Aaron Turner, a Vectra SaaS Protect műszaki igazgatója a Dark Readingnek.
A vörös zászlókat figyelmen kívül hagyták
Az egyik rendszer, amely nyomon követte a Twitter mérnökeinek bejelentkezését, hetente több ezer sikertelen bejelentkezési kísérletet regisztrált, mondta Zatko. Annak ellenére, hogy a cég naponta 3,000 sikertelen kísérletet látott, a vállalat nem helyezte előtérbe annak vizsgálatát, hogy honnan származnak a próbálkozások, vagy milyen rendszereket céloznak meg.
A vizsgálat elmulasztása elszalasztott lehetőség volt. Ha megpróbáltuk kitalálni, hogy a sikertelen kísérletek mire irányultak, az segíthetett volna azonosítani a potenciálisan sebezhető rendszereket, és hogy szükségük volt-e további védelmi rétegekre.
A Twitter „annyira le van maradva az infrastruktúrájukról”, és a mérnököknek nem adatik meg a lehetőség a platform modernizálására – vallotta Zatko.
A Twitter visszautasította a vádakat. A szóvivő azt mondta: "A mai meghallgatás csak megerősíti, hogy Zatko úr állításai tele vannak következetlenségekkel és pontatlanságokkal."
