Quando o ex-CEO do Twitter Jack Dorsey contratou Peiter Zatko como chefe de segurança do Twitter em 2020, ele achava que o hacker que virou especialista em segurança cibernética poderia ajudar a empresa a melhorar sua segurança postura. Mas dois anos depois, ou Peiter não pôde ajudar o Twitter ou a empresa não quis sua ajuda. Ele foi demitido por liderança ineficaz e mau desempenho, mas Zatko argumenta o contrário.
Ele apresentou uma queixa à Securities and Exchange Commission (SEC), à Federal Trade Commission (FTC) e ao Departamento de Justiça acusando o Twitter de ignorância intencional e grandes falhas de segurança.
É uma litania de acusações, cada uma mais contundente que a outra. Aqui estão mais revelações da acusação de Zatko contra o Twitter.
1. Vulnerabilidades de segurança perigosas
Entre as alegações mais graves que Zatko fez contra o Twitter está a de que a empresa faz pouco para proteger seus 238 milhões de usuários diários (que incluem chefes de estado, agências governamentais e figuras públicas influentes) contra hackers.
Ele alega que metade dos servidores do Twitter executam software desatualizado e quase um quarto dos funcionários desativou atualizações de software em seus sistemas que podem fornecer patches de segurança essenciais.
Se for verdade, o Twitter pode ser considerado uma violação do Acordo de 2011 com a FTCsobre a segurança do consumidor. O acordo exigia que a empresa criasse e mantivesse um modelo sólido de segurança da informação a ser inspecionado por um auditor independente por 10 anos.
2. Acessos internos problemáticos
Um fator que torna a plataforma vulnerável é o amplo e desnecessário acesso que os funcionários supostamente têm ao ambiente de produção.
O Sr. Zatko alega que muitos funcionários, incluindo todos os engenheiros e aproximadamente metade da força de trabalho, trabalham diretamente no produto ao vivo da plataforma e acessam os dados reais do usuário. Isso é inédito em empresas de tecnologia como Meta e Google, onde os desenvolvedores usam dados fictícios para codifique e teste em sandboxes especializadas sem afetar os principais produtos.
O acesso mal rastreado ao software principal da empresa levou a hacks embaraçosos no passado, incluindo o comando de contas de usuários de alto perfil como Bill Gates, Elon Musk e Joe Biden.
3. Spam enganoso e contagem de bots
A divulgação do denunciante do Twitter acusa a empresa de enganar os investidores e o público sobre a quantidade de spam e bots na plataforma.
Anteriormente, o Twitter havia afirmado que apenas cinco por cento das contas na plataforma são bots, mas Zatko diz que o número real é muito maior. Ele alega que a empresa prioriza o crescimento de usuários em vez de reduzir o spam e que os executivos ganham bônus no valor de milhões para aumentar a atividade diária dos usuários.
Esta acusação fornece munição suficiente para Elon Musk em sua batalha legal para desistir de um acordo de US $ 44 bilhões para comprar a empresa.
4. Ameaças Internacionais
Pieter Zatko afirma que governos estrangeiros que obtêm acesso à plataforma ou encontram influência contra ela podem causar enormes danos à segurança e aos interesses nacionais dos EUA. A ameaça não é teórica quando você considera os incidentes passados e a postura fraca de segurança cibernética da empresa.
O relatório afirma que pouco antes de Zatko ser demitido, o governo dos EUA informou ao Twitter que pelo menos um de seus funcionários era agente de uma agência de inteligência estrangeira. Zatko também acredita que a empresa contratou duas pessoas que eram agentes do governo indiano.
Da mesma forma, Zatko afirma que antes da invasão da Ucrânia pela Rússia, Parag Agrawal, que era CTO do Twitter na tempo, propôs fazer concessões à Rússia para crescer no país à custa da censura ou vigilância.
Esta não é a primeira vez que o Twitter é acusado de ajudar os países a censurar ou vigiar a plataforma para obter benefícios monetários. Apenas duas semanas antes da divulgação de Zatko, um júri condenou um ex-gerente do Twitter por espionagem para a Arábia Saudita.
O que o Twitter diz sobre as alegações?
O relatório de Zatko contém dezenas de alegações sérias contra as irregularidades do Twitter, incluindo vulnerabilidades de segurança, controles de acesso deficientes, medição enganosa de contas de spam e bot e mais.
Mas a vice-presidente de comunicações da empresa, Rebecca Hahn, disse O Washington Post que a divulgação de Zatko carece de "contexto importante". Hahn acredita que "as alegações e o momento oportunista parecem projetados para capturar a atenção e infligir danos ao Twitter" e que "segurança e privacidade há muito são prioridades em toda a empresa".
Agrawal também negou as acusações contra o Twitter e chamou de "uma narrativa falsa que está repleta de inconsistências e imprecisões." Em memorando aos funcionários, ele ressaltou que a empresa seguirá todos os caminhos para defender sua integridade e estabelecer o recorde direto.
O que podemos aprender com o denunciante do Twitter?
É importante ressaltar que todos nós precisamos estar cientes de que não podemos confiar apenas em outras partes para nos mantermos seguros online. O Twitter pode ou não deixar seus usuários abertos a hackers, mas, em última análise, cada um de nós precisa assumir responsabilidade pessoal com quais dados entregamos à empresa - e, de fato, a qualquer organização que solicite mais informações pessoais do que necessário.