Der ehemalige Sicherheitschef von Twitter hat dem Unternehmen in einer vernichtenden Whistleblower-Beschwerde „extreme, ungeheuerliche Mängel“ im Umgang mit Benutzerinformationen und Spam-Bots vorgeworfen.
Peiter Zatko, ein erfahrener Hacker und Sicherheitsexperte namens „Mudge“, sagt, das Unternehmen habe Benutzer, Vorstandsmitglieder und die Bundesregierung über die Stärke seiner Sicherheitsmaßnahmen getäuscht. Zatko wurde 2020 vom Twitter-Mitbegründer und damaligen CEO Jack Dorsey beauftragt, die Sicherheit des Unternehmens zu stärken, nachdem ein Massenhack auf 130 hochkarätige Twitter-Konten abzielte.
„Twitter handelt in mehreren Bereichen der Informationssicherheit grob fahrlässig“, schrieb Zatko in einer im Februar verfassten Analyse, die der Beschwerde beigefügt war. „Wenn diese Probleme nicht behoben werden, werden Aufsichtsbehörden, Medien und Nutzer der Plattform schockiert sein, wenn sie unweigerlich von Twitters schwerwiegendem Mangel an Sicherheitsgrundlagen erfahren.“
Zatko reichte die Beschwerde ein, die zuerst von der gemeldet wurde Washington Post und CNN am Dienstagmorgen an die Securities and Exchange Commission (SEC), das Justizministerium und die Federal Trade Commission (FTC). Eine redigierte Version der Beschwerde wurde an mehrere Kongressausschüsse geschickt.
Die Einreichung behauptet, dass Twitter seine verletzt hat Abrechnung 2011 mit der FTC, wo das Unternehmen sagte, es werde einen umfassenden Sicherheitsplan erstellen, um die persönlichen Daten der Benutzer zu schützen. Zatko sagt, dass Benutzerdaten, einschließlich derjenigen, die von den bekanntesten verifizierten Handles von Twitter stammen, anfällig für Hacks sind.
Ein spezifisches Problem, das Zatko anspricht, ist der Zugriff, den Tausende von Twitter-Mitarbeitern auf die Kernsoftware des Unternehmens haben, und die geringe Sicherheit, die seiner Meinung nach viele ihrer Hardware haben. In der Beschwerde wird behauptet, dass etwa 30 % der Laptops im Unternehmen automatisch Updates blockierten, die Sicherheitsfixes enthielten.
Zatko beschuldigte Twitter-Führungskräfte, den Vorstand des Unternehmens über diese Schwachstellen absichtlich in die Irre geführt zu haben. Eine Präsentation, die Ende letzten Jahres vor dem Risikoausschuss des Vorstands gezeigt wurde, besagte, dass auf 92 % der Computer der Mitarbeiter Sicherheitssoftware installiert war. Aber Zatko behauptet, Führungskräfte hätten ihnen trotz seiner Proteste nicht mitgeteilt, dass ein Drittel der Computer des Unternehmens immer noch angreifbar seien.
Nachdem Zatko intern berichtet hatte, dass die Sitzung des Risikoausschusses möglicherweise betrügerisch gewesen sei, wurde er im Januar von Agrawal gefeuert.
Twitter ist in den letzten Monaten wegen seines Umgangs mit sensiblen Benutzerinformationen unter Beschuss geraten. Anfang dieses Monats wurde ein ehemaliger Twitter-Mitarbeiter für schuldig befunden, saudische Dissidenten ausspioniert und ihre Informationen an die saudische Regierung weitergegeben zu haben. Das Unternehmen wurde außerdem von der US-Bundesregierung mit einer Geldstrafe von 150 US-Dollar belegt, weil es E-Mail-Adressen und Telefonnummern von Benutzern aus Sicherheitsgründen gesammelt und dann für Marketingzwecke verwendet hatte.
In der Beschwerde wird auch argumentiert, dass Twitter nicht offen über die Anzahl der Spam-Bots gesprochen habe, mit denen es zu tun habe. Zatko sagte, er könne das Unternehmen nicht dazu bringen, ihm eine klare Antwort darauf zu geben, wie viel Spam und Bots auf der Plattform vorhanden seien. Er sagte, Agrawal habe „gelogen“, als er im Mai sagte, dass Twitter „einen starken Anreiz habe, so viel Spam wie möglich zu erkennen und zu entfernen“, und dass die Führungskräfte des Unternehmens stattdessen ermutigt würden, die Benutzerzahlen zu erhöhen.
In einer Erklärung hat Twitter die Anschuldigungen von Zatko zurückgewiesen und erklärt, dass er wegen schlechter Leistung und Führung gefeuert wurde.
„Was wir bisher gesehen haben, ist ein falsches Narrativ über Twitter und unsere Datenschutz- und Datensicherheitspraktiken, das voller Ungereimtheiten und Ungenauigkeiten ist und dem wichtiger Kontext fehlt“, sagte das Unternehmen in einer Erklärung gegenüber CNN. „Die Anschuldigungen von Herrn Zatko und sein opportunistisches Timing scheinen darauf ausgelegt zu sein, Aufmerksamkeit zu erregen und Twitter, seinen Kunden und Aktionären Schaden zuzufügen. Sicherheit und Datenschutz haben bei Twitter seit langem unternehmensweite Prioritäten und werden es auch weiterhin sein.“
Zatko gesagt der Washington Post, dass er sich „ethisch verpflichtet“ fühle, seine Ergebnisse zu melden, und dass dies „kein leichter Schritt“ sei.
Die Beschwerde kommt inmitten des Rechtsstreits von Twitter mit Elon Musk, nachdem Musk seine Pläne zum Kauf des Unternehmens für 44 Milliarden US-Dollar fallen gelassen hatte und sagte, das Unternehmen habe die Verbreitung von Bots auf seinen Plattformen heruntergespielt. Vertreter von Zatko teilten CNN mit, er habe keinen Kontakt zu Musk gehabt. In der Zwischenzeit sagte Musks Anwalt Alex Spiro, dass sie eine Vorladung für ihn ausgestellt und „seinen Abgang und den anderer wichtiger Mitarbeiter angesichts dessen, was wir bekämpft haben, neugierig fanden“. Das Unternehmen soll im Oktober mit Musk in Delaware vor Gericht gehen.