Cuando el ex director ejecutivo de Twitter, Jack Dorsey, contrató a Peiter Zatko como jefe de seguridad de Twitter en 2020, pensó que el hacker convertido en especialista en ciberseguridad podría ayudar a la empresa a mejorar su seguridad postura. Pero dos años después, Peiter no pudo ayudar a Twitter o la empresa no quería su ayuda. Fue despedido por liderazgo ineficaz y mal desempeño, pero Zatko argumenta lo contrario.
Presentó una queja ante la Comisión de Bolsa y Valores (SEC), la Comisión Federal de Comercio (FTC) y el Departamento de Justicia acusando a Twitter de ignorancia deliberada y fallas de seguridad importantes.
Es una letanía de cargos, cada uno más condenatorio que el anterior. Aquí hay más revelaciones de la hoja de cargos de Zatko contra Twitter.
1. Vulnerabilidades de seguridad peligrosas
Entre las acusaciones más graves que hizo Zatko contra Twitter está que la empresa hace poco para proteger sus 238 millones de usuarios diarios (que incluyen jefes de estado, agencias gubernamentales y figuras públicas influyentes) contra piratas informáticos
Alega que la mitad de los servidores de Twitter ejecutan software desactualizado y casi una cuarta parte de los empleados han desactivado las actualizaciones de software en sus sistemas que podrían proporcionar parches de seguridad esenciales.
Si es cierto, Twitter puede ser considerado en violación de la acuerdo de 2011 con la FTCsobre la seguridad del consumidor. El acuerdo requería que la empresa creara y mantuviera un modelo sólido de seguridad de la información para ser inspeccionado por un auditor independiente durante 10 años.
2. Accesos internos problemáticos
Un factor que hace que la plataforma sea vulnerable es el amplio e innecesario acceso que los empleados tienen al entorno de producción.
El Sr. Zatko alega que demasiados empleados, incluidos todos los ingenieros y aproximadamente la mitad de la fuerza laboral, trabajan directamente en el producto en vivo de la plataforma y acceden a los datos reales del usuario. Esto es inaudito en empresas tecnológicas como Meta y Google, donde los desarrolladores usan datos ficticios para codifique y pruebe en sandboxes especializados sin afectar a los principales productos.
El acceso mal rastreado al software central de la empresa ha llevado a vergonzosos ataques en el pasado, incluida la apropiación de cuentas de usuarios de alto perfil como Bill Gates, Elon Musk y Joe Biden.
3. Spam engañoso y recuento de bots
La divulgación del denunciante de Twitter acusa a la empresa de engañar a los inversores y al público sobre la cantidad de spam y bots en la plataforma.
Anteriormente, Twitter había afirmado que solo el cinco por ciento de las cuentas en la plataforma son bots, pero Zatko dice que el número real es mucho mayor. Alega que la empresa prioriza el crecimiento de los usuarios sobre la reducción del spam y que los ejecutivos ganan bonificaciones por valor de millones para aumentar la actividad diaria de los usuarios.
Esta acusación proporciona suficiente munición para Elon Musk en su batalla legal para retirarse de un acuerdo de $ 44 mil millones para comprar la empresa.
4. Amenazas Internacionales
Pieter Zatko afirma que los gobiernos extranjeros que obtienen acceso a la plataforma o encuentran influencia en su contra pueden causar un daño enorme a la seguridad y los intereses nacionales de los EE. UU. La amenaza no es teórica cuando considera los incidentes pasados y la débil postura de seguridad cibernética de la empresa.
El informe afirma que poco antes de que despidieran a Zatko, el gobierno de EE. UU. avisó a Twitter de que al menos uno de sus empleados era agente de una agencia de inteligencia extranjera. Zatko también cree que la empresa contrató a dos personas que eran agentes del gobierno indio.
De manera similar, Zatko afirma que antes de la invasión rusa de Ucrania, Parag Agrawal, quien fue el CTO de Twitter en la tiempo, propuso hacer concesiones a Rusia para crecer en el país a costa de la censura o vigilancia.
Esta no es la primera vez que se acusa a Twitter de ayudar a los países a censurar o vigilar la plataforma para obtener beneficios monetarios. Solo dos semanas antes de la revelación de Zatko, un jurado condenó a un exgerente de Twitter por espiar para Arabia Saudita.
¿Qué dice Twitter sobre las acusaciones?
El informe de Zatko contiene docenas de denuncias graves contra las irregularidades de Twitter, que incluyen vulnerabilidades de seguridad, controles de acceso deficientes, medición engañosa de spam y cuentas de bots, y más.
Pero la vicepresidenta de comunicaciones de la compañía, Rebecca Hahn, dijo el poste de washington que la revelación de Zatko carece de "contexto importante". Hahn cree que las "acusaciones y el momento oportunista parecen diseñados para captar la atención e infligir daño en Twitter" y que "la seguridad y la privacidad han sido durante mucho tiempo prioridades de toda la empresa".
Agrawal también negó las acusaciones contra Twitter y lo calificó como "una narrativa falsa que está plagada de inconsistencias y inexactitudes". En un memorando a los empleados, enfatizó que la compañía seguirá todos los caminos para defender su integridad y establecer el récord directo.
¿Qué podemos aprender del denunciante de Twitter?
Es importante destacar que todos debemos ser conscientes de que no podemos depender únicamente de otras partes para mantenernos seguros en línea. Twitter puede o no dejar a sus usuarios abiertos a los piratas informáticos, pero en última instancia, cada uno de nosotros debe asumir la responsabilidad personal con qué datos entregamos a la empresa y, de hecho, a cualquier organización que solicite más información personal de la que es necesario.