Se pone en duda la Seguridad de Twitter
Un ex ejecutivo de Twitter ha actuado como denunciante y alegó algunos problemas graves. Siempre que estas acusaciones sean ciertas, la divulgación muestra un lado de Twitter que representa una amenaza para la información personal de sus propios usuarios, para los accionistas de la compañía, para la seguridad nacional y para la democracia.
También conocido como Mudge, Peiter Zatko es un experto en seguridad de redes, programador de código abierto, escritor y hacker. Su posición más reciente fue como jefe de seguridad en Twitter, reportando directamente al CEO. Fue el miembro más prominente del grupo de expertos de hackers de alto perfil L0pht, así como de la cooperativa de piratería informática y cultural Cult of the Dead Cow. El L0pht fue uno de los primeros hackerspaces viables en los Estados Unidos, y un pionero de la divulgación responsable. Zatko llamó la atención nacional por primera vez en 1998 cuando participó en las primeras audiencias del Congreso sobre ciberseguridad.
Zatko fue despedido por Twitter en enero por lo que la compañía afirma que fue un mal desempeño.
"El Sr. Zatko fue despedido de su cargo ejecutivo senior en Twitter en enero de 2022 por liderazgo ineficaz y bajo rendimiento".
Principales problemas
El hackeo de Twitter de 2020 fue una de las principales razones por las que Twitter contrató a Zatko, quien anteriormente ocupó altos cargos en Google, Stripe y el Departamento de Defensa de los Estados Unidos. Cuando Zatko llegó a Twitter, dijo que encontró una compañía con prácticas de seguridad extraordinariamente pobres, incluyendo dar a miles de empleados de la compañía, que ascienden a aproximadamente la mitad de la fuerza laboral de la compañía, acceso a algunos de los controles críticos de la plataforma. Su revelación describe sus hallazgos generales como "deficiencias atroces, negligencia, ignorancia deliberada y amenazas a la seguridad nacional y la democracia".
Según Zatko, "era imposible proteger el entorno de producción. Todos los ingenieros tuvieron acceso. No había registro de quiénes entraron en el medio ambiente o qué hicieron.... Nadie sabía dónde vivían los datos o si eran críticos, y todos los ingenieros tenían algún tipo de acceso crítico al entorno de producción".
Infraestructura
La endeble infraestructura de servidores de Twitter es una vulnerabilidad separada pero igualmente grave, afirma la divulgación. Alrededor de la mitad de los 500,000 servidores de la compañía se ejecutan en software obsoleto que no admite características de seguridad básicas, como el cifrado de datos almacenados o las actualizaciones de seguridad regulares de los proveedores. La carta de Zatko a un miembro de la junta de Twitter sobre ese tema está incluida en la divulgación.
La divulgación también afirma que Twitter carece de suficientes redundancias y procedimientos para reiniciar o recuperarse de los bloqueos del centro de datos, lo que significa que incluso las interrupciones menores de varios centros de datos al mismo tiempo podrían desconectar todo el servicio de Twitter.
Ftc
En 2010, la Comisión Federal de Comercio (FTC) presentó una queja contra Twitter por su mal manejo de la información privada de los usuarios y el problema de que demasiados empleados tienen acceso a los controles centrales de Twitter. Zatko alega que a pesar de las afirmaciones de la compañía de lo contrario, nunca ha cumplido con lo que la FTC exigió hace más de diez años.
Elon Musk
Después de los eventos recientes, cada vez que se menciona Twitter, también aparece el nombre de Elon Musk. Musk, quien está involucrado en una batalla legal con Twitter por su intento de retirarse de la compra de la compañía, afirma que la cantidad de bots en la plataforma afecta la experiencia del usuario y que tener más bots de los que se conocían anteriormente podría afectar el valor a largo plazo de la compañía.
Según la revelación de Zatko, el CEO de Twitter, Parag Agrawal, tuiteó declaraciones falsas y engañosas sobre el manejo de Twitter de los bots en la plataforma. De hecho, afirmó, la ignorancia deliberada era la norma entre el equipo de liderazgo ejecutivo. La razón es simple de entender, el valor de una plataforma social se basa en el número de usuarios activos, ya que esa es la audiencia potencial para la publicidad en la plataforma. Twitter utiliza una métrica única llamada usuarios activos diarios monetizables (mDAU) que, según dice, cuenta a todos los usuarios a los que se les podría mostrar un anuncio en Twitter.
La compañía ha dicho repetidamente que menos del 5% de sus mDAU son cuentas falsas o spam. Pero la divulgación de Zatko argumenta que al informar a los bots solo como un porcentaje de mDAU, en lugar de como un porcentaje del número total de cuentas en la plataforma, Twitter oscurece la verdadera escala de cuentas falsas y spam en el servicio, un movimiento que Zatko alega que es deliberadamente engañoso.
Influencia extranjera
Según la revelación, Twitter es excepcionalmente vulnerable a la explotación de gobiernos extranjeros de maneras que socavan la seguridad nacional de los Estados Unidos, y la compañía puede incluso tener espías extranjeros actualmente en su nómina.
El año pasado, antes de la invasión rusa de Ucrania, Agrawal, entonces director de tecnología de Twitter, propuso a Zatko que Twitter cumpliera con las demandas rusas que podrían resultar en una censura o vigilancia de base amplia de la plataforma, alega Zatko. Si bien la sugerencia de Agrawal fue finalmente descartada, seguía siendo una señal alarmante de hasta dónde estaba dispuesto a llegar Twitter en busca de crecimiento, según Zatko.
El informe de Zatko se está haciendo público solo dos semanas después de que un ex gerente de Twitter fuera condenado por espiar para Arabia Saudita.
Motivación
Al hacerlo público, dice Zatko, cree que está haciendo el trabajo para el que fue contratado para una plataforma que dice que es crítica para la democracia.
"Jack Dorsey se acercó y me pidió que viniera y realizara una tarea crítica en Twitter. Firmé para hacerlo y creo que todavía estoy cumpliendo esa misión".
Zatko puede ser elegible para una indemnización monetaria del gobierno de los Estados Unidos como resultado de sus actividades de denunciante. La información original, oportuna y creíble que conduzca a una acción de cumplimiento exitosa por parte de la Comisión de Bolsa y Valores (SEC) puede generar a los denunciantes hasta un recorte del 30% de las multas de la agencia relacionadas con la acción si las sanciones ascienden a más de $ 1 millón, dijo la SEC.
La perspectiva de una recompensa no fue un factor en la decisión de Zatko, dijo, y de hecho afirma que ni siquiera sabía sobre el programa de recompensas cuando decidió convertirse en un denunciante legal