Sat. Oct 1st, 2022

Twitter ocultó prácticas de seguridad negligentes, engañó a los reguladores federales sobre su seguridad y no calculó correctamente la cantidad de bots en su plataforma, según el testimonio del exjefe de seguridad de la empresa, el legendario hacker convertido en experto en ciberseguridad Peiter “Mudge ” Zatko. Las explosivas acusaciones tienen enormes consecuencias potenciales, incluidas multas federales y el desmoronamiento de la oferta de Elon Musk para comprar Twitter. Zatko fue despedido por Twitter en enero y afirma que esto fue una represalia por su negativa a guardar silencio sobre las vulnerabilidades de la empresa. El mes pasado, presentó una queja ante la Comisión de Bolsa y Valores (SEC) que acusa a Twitter de engañar a los accionistas y violar un acuerdo que hizo con la Comisión Federal de Comercio (FTC) para mantener ciertos estándares de seguridad. Sus quejas, que suman más de 200 páginas, fueron obtenidas por CNN y The Washington Post y publicadas en forma redactada esta mañana. En una entrevista con CNN, Zatko dijo que se unió a Twitter en 2020 por legado del entonces director ejecutivo Jack Dorsey, justo después de que la empresa sufriera un hackeo masivo en el que se vulneraron cuentas pertenecientes a figuras como Barack Obama, Bill Gates y Kanye West. comprometido. Zatko dice que se unió a Twitter porque cree que la plataforma es un “recurso crítico” para el mundo, pero se desilusionó por la negativa del CEO Parag Agrawal a abordar las muchas fallas de seguridad de la empresa. “Este nunca sería mi primer paso, pero creo que todavía estoy cumpliendo con mi obligación con Jack y con los usuarios de la plataforma”, dijo Zatko a The Washington Post sobre su decisión de convertirse en denunciante. “Quiero terminar el trabajo para el que me trajo Jack, que es mejorar el lugar”. Las revelaciones de Zatko a la SEC contienen muchos informes y acusaciones condenatorios, pero estos son algunos de los más significativos:

Acceso indiscriminado. Una parte importante de la vulnerabilidad de Twitter es que demasiados empleados tienen acceso a sistemas críticos, afirma Zatko en su denuncia. Establece que alrededor de la mitad de los aproximadamente 7000 empleados de tiempo completo de Twitter tienen acceso a los datos personales confidenciales de los usuarios (como números de teléfono) y software interno (para modificar el funcionamiento del servicio), y que este acceso no se controla de cerca. También alega que miles de computadoras portátiles contienen copias completas del código fuente de Twitter.

Engañar a la FTC. En 2010, Twitter resolvió los cargos con la FTC de que no protegió la información personal de los consumidores, un ejemplo significativo y temprano de los reguladores gubernamentales que controlan a Big Tech. La denuncia de Zatko afirma que Twitter ha hecho repetidamente “declaraciones falsas y engañosas” a los usuarios y a la FTC, violando este acuerdo.

Ignorando bots. Twitter ha afirmado repetidamente que menos del 5 por ciento de sus usuarios activos diarios mensuales son bots, cuentas falsas o spam. La queja de Zatko dice que el método de Twitter para medir esta cifra es engañoso y que los ejecutivos reciben incentivos (con bonificaciones de hasta $10 millones) para aumentar el número de usuarios en lugar de eliminar los robots de spam.

agentes del gobierno. Twitter es una herramienta clave para compartir noticias y organizar protestas, lo que lo convierte en un objetivo perfecto para los gobiernos que buscan tomar medidas enérgicas contra la disidencia. La queja de Zatko afirma que cree que el gobierno indio obligó a Twitter a contratar a un agente del gobierno, quien luego tuvo acceso a datos de usuarios privilegiados.

Error al eliminar. La queja establece que Twitter, en el pasado, no eliminó los datos de los usuarios cuando se le solicitó, porque dichos registros están demasiado dispersos entre los sistemas internos para ser rastreados adecuadamente. Un empleado actual le dijo a The Washington Post que la compañía acaba de completar un proyecto, conocido como Project Eraser, para garantizar la eliminación adecuada de los datos de los usuarios. En respuesta a la denuncia de Zatko, Twitter acusó a su exjefe de seguridad de sensacionalizar y presentar información de forma selectiva. Un portavoz le dijo a CNN:

“Señor. Zatko fue despedido de su puesto de alto ejecutivo en Twitter por desempeño deficiente y liderazgo ineficaz hace más de seis meses. Si bien no hemos tenido acceso a las denuncias específicas a las que se hace referencia, lo que hemos visto hasta ahora es una narrativa sobre nuestras prácticas de seguridad de datos y privacidad que está plagada de inconsistencias e imprecisiones, y carece de contexto importante. Las acusaciones del Sr. Zatko y el momento oportunista parecen estar diseñados para captar la atención e infligir daño a Twitter, sus clientes y accionistas. La seguridad y la privacidad han sido durante mucho tiempo prioridades de toda la empresa en Twitter y todavía tenemos mucho trabajo por delante”.

Las acusaciones de Zatko son explosivas y tendrán un efecto significativo en la empresa. La FTC actualmente está revisando la denuncia, según fuentes citadas por The Washington Post, y probablemente impondrá multas significativas a Twitter si se demuestra que las acusaciones de Zatko son correctas. La denuncia también afectará la lucha en curso entre el CEO de Tesla, Elon Musk, y Twitter. Musk actualmente está tratando de librarse de un acuerdo de $ 44 mil millones para comprar la compañía, justificando la decisión con una acusación de que Twitter está mintiendo sobre la verdadera cantidad de cuentas de bot y spam en la plataforma. La queja de Zatko fortalece significativamente los argumentos de Musk, que anteriormente habían sido criticados como infundados.