Twitter’s foreign intel problem – CNN

Date:

Een combinatie van zwakke cyberbeveiligingscontroles en slecht beoordelingsvermogen heeft Twitter herhaaldelijk blootgesteld aan tal van buitenlandse inlichtingenrisico’s, volgens Zatko, die van november 2020 tot zijn ontslag in januari het hoofd van Twitter was voor beveiliging.

Van het aannemen van geld van niet-vertrouwde Chinese bronnen tot het voorstellen van het bedrijf om toe te geven aan Russische censuur en surveillance-eisen, Twitter-execs, waaronder nu-CEO Parag Agrawal, hebben Twitter-gebruikers en -medewerkers bewust in gevaar gebracht bij het nastreven van groei op korte termijn, beweert Zatko.

CNN vroeg Twitter om commentaar op meer dan 50 verschillende vragen in antwoord op de algemene onthulling, samen met specifieke vragen over de aantijgingen die in dit verhaal worden geschetst. Twitter heeft niet gereageerd op CNN’s vragen over buitenlandse inlichtingenrisico’s, maar een woordvoerder van het bedrijf heeft gezegd dat de beschuldigingen van Zatko over het algemeen “doorzeefd zijn met inconsistenties en onnauwkeurigheden en een belangrijke context missen”.

De beschuldigingen over de nationale veiligheid maken deel uit van een explosieve, bijna 200 pagina’s tellende onthulling aan het Congres, het ministerie van Justitie en federale regelgevers die de leiding van Twitter beschuldigen van het verbergen van kritieke bedrijfskwetsbaarheden en het oplichten van het publiek. Zatko, een lange tijd cyberbeveiligingsexpert die senior functies bekleedde bij Google, Stripe en het ministerie van Defensie, diende vorige maand zijn onthulling in bij de autoriteiten na wat hij beschreef als maanden van tevergeefs proberen binnen Twitter alarm te slaan over de gevaren waarmee het werd geconfronteerd. Hoewel de onthulling aan het Congres is bewerkt om gevoelige details met betrekking tot de nationale veiligheidsclaims weg te laten, is volgens de onthulling een uitgebreidere versie met ondersteunende documenten aan de Senaatsinlichtingencommissie en de DOJ’s nationale veiligheidsafdeling geleverd.

Een van de beschuldigingen is de onthulling van de klokkenluider dat de Amerikaanse regering kort voor Zatko’s ontslag specifiek bewijs aan Twitter heeft verstrekt dat ten minste een van haar werknemers, misschien meer, voor de inlichtingendienst van een andere regering werkte. De onthulling zegt niet of Twitter handelde naar aanleiding van de tip van de Amerikaanse regering of dat de tip geloofwaardig was.

De onthulling van de klokkenluider zou de tweeledige bezorgdheid in Washington over buitenlandse tegenstanders en de cyberbeveiligingsdreiging die zij voor Amerikanen vormen, verder kunnen aanwakkeren. In de afgelopen jaren hebben beleidsmakers zich zorgen gemaakt over autoritaire regeringen die gegevens van Amerikaanse burgers overhevelen van gehackte of plooibare bedrijven; gebruikmaken van technische platforms om op subtiele wijze desinformatie te beïnvloeden of te zaaien onder Amerikaanse kiezers; of misbruik maken van ongeoorloofde toegang om informatie te verzamelen over mensenrechtencritici en andere vermeende bedreigingen voor niet-democratische regimes.

De vermeende tekortkomingen van Twitter kunnen mogelijk de deur openen naar alle drie de mogelijkheden.

In reactie op de onthulling beloofde Marco Rubio, de hoogste Republikein van de Inlichtingencommissie van de Senaat, de beschuldigingen verder te onderzoeken.

“Twitter heeft een lange staat van dienst in het nemen van echt slechte beslissingen over alles, van censuur tot beveiligingspraktijken. Dat is een grote zorg gezien het vermogen van het bedrijf om het nationale discours en wereldwijde gebeurtenissen te beïnvloeden,” zei Rubio. “We behandelen de klacht met de ernst die het verdient en kijken ernaar uit om meer te weten te komen.”

In de maanden voordat Rusland Oekraïne binnenviel, leek Agrawal – toen de chief technology officer van Twitter – bereid aanzienlijke concessies te doen aan het Kremlin, volgens de onthulling van Zatko.

Agrawal stelde aan Zatko voor dat Twitter zou voldoen aan Russische eisen die zouden kunnen leiden tot brede censuur of surveillance, beweert Zatko, herinnerend aan een interactie die hij destijds met Agrawal had. De onthulling geeft geen details over wat Agrawal precies suggereerde. Maar afgelopen zomer heeft Rusland een wet aangenomen die technologieplatforms onder druk zet om lokale kantoren in het land te openen of te maken krijgt met mogelijke reclameverboden, een stap die volgens westerse veiligheidsexperts Rusland meer invloed zou kunnen geven op Amerikaanse technologiebedrijven.

De suggestie van Agrawal was bedoeld als een manier om gebruikers in Rusland te laten groeien, zegt de onthulling, en hoewel het idee uiteindelijk werd verworpen, zag Zatko het nog steeds als een alarmerend teken van hoe ver Twitter bereid was te gaan in het nastreven van groei, volgens de onthulling .

“Het feit dat de huidige CEO van Twitter zelfs suggereerde dat Twitter medeplichtig zou worden aan het regime van Poetin, is reden tot bezorgdheid over de effecten van Twitter op de Amerikaanse nationale veiligheid”, zegt Zatko’s onthulling.

Twitter bevindt zich ook in een gecompromitteerde positie in China, beweert de openbaarmaking aan het Congres. Het bedrijf heeft naar verluidt financiering geaccepteerd van niet nader genoemde “Chinese entiteiten” die nu toegang hebben tot informatie die uiteindelijk mensen in China zou kunnen ontmaskeren die illegaal de overheidscensuur omzeilen om Twitter te bekijken en te gebruiken.

“Twittermanagers wisten dat het accepteren van Chinees geld gebruikers in China in gevaar kon brengen”, aldus de onthulling. “Meneer Zatko kreeg te horen dat Twitter op dit moment te afhankelijk was van de inkomstenstroom om iets anders te doen dan proberen deze te vergroten.”

Zatko’s 80 pagina’s tellende onthulling waarin zijn beschuldigingen worden geschetst, samen met bijna twee dozijn aanvullende ondersteunende documenten, wordt openbaar slechts twee weken nadat een voormalige Twitter-manager was veroordeeld voor spionage voor Saoedi-Arabië. De voormalige werknemer zou zijn toegang tot Twitter-gegevens hebben misbruikt om informatie te verzamelen over vermoedelijke Saoedische dissidenten, waaronder hun telefoonnummers en e-mailadressen, en die informatie naar verluidt aan de Saoedische regering hebben doorgegeven.

Die inbreuk op de beveiliging, die voor het eerst werd ontdekt in 2019, onderstreept de ernst van Zatko’s aantijgingen, die Twitter omschrijven als een extreem poreuze organisatie met alarmerend lakse cyberbeveiligingscontroles in vergelijking met zijn bedrijfsgenoten. Om hun werk te doen, heeft ongeveer de helft van de Twitter-werknemers buitensporige machtigingen om toegang te verlenen tot live gebruikersgegevens en het actieve Twitter-product, volgens de openbaarmaking, een praktijk die Zatko zegt dat een significante afwijking is van de normen van andere grote technologiebedrijven waar toegang wordt streng gecontroleerd en werknemers werken grotendeels in speciale zandbakken die zijn geïsoleerd van het naar de consument gerichte product. “Elke ingenieur” bij het bedrijf, beweert Zatko, “heeft een volledige kopie van de eigen broncode van Twitter op zijn laptop.”

Wat de Twitter-klokkenluider zou kunnen betekenen voor de overnamedeal van Elon Musk

Twitter heeft CNN verteld dat het omgaan met broncode niet buiten de praktijken van de sector valt, en dat de technische en productteams van Twitter geautoriseerd zijn om toegang te krijgen tot het live platform van het bedrijf als ze een specifieke zakelijke rechtvaardiging hebben om dit te doen.

Het bedrijf zei ook dat het geautomatiseerde controles gebruikt om ervoor te zorgen dat laptops met verouderde software geen toegang hebben tot de productieomgeving, en dat werknemers alleen wijzigingen aan het live-product van Twitter mogen aanbrengen nadat de code aan bepaalde vereisten voor archivering en beoordeling voldoet.

De onthulling beweert dat Twitter moeite heeft om zijn cyberbeveiligingsrisico’s te verminderen, omdat het geen controle heeft over, en vaak niet weet, wat werknemers op hun werkcomputers doen. Gegevens die Zatko onthulde van Twitter’s interne cyberbeveiligingsdashboards, tonen aan dat vier op de tien werknemersapparaten – wat neerkomt op duizenden laptops – geen basisbeveiliging hebben ingeschakeld, zoals firewalls en automatische software-updates. Volgens de onthulling kunnen werknemers ook software van derden op hun computers installeren met weinig technische beperkingen, wat er naar verluidt meerdere keren toe heeft geleid dat werknemers in opdracht van externe organisaties ongeautoriseerde spyware op hun apparaten installeerden.

In zijn reacties op CNN zei Twitter dat werknemers apparaten gebruiken die onder toezicht staan ​​van andere IT- en beveiligingsteams die de macht hebben om te voorkomen dat een apparaat verbinding maakt met gevoelige interne systemen als het verouderde software draait.

Twitter heeft interne beveiligingstools die regelmatig door het bedrijf worden getest, en om de twee jaar door externe auditors, volgens een persoon die bekend is met Zatko’s ambtstermijn bij het bedrijf. De persoon voegde eraan toe dat sommige statistieken van Zatko over apparaatbeveiliging niet geloofwaardig waren en werden afgeleid door een klein team dat niet naar behoren rekening hield met de bestaande beveiligingsprocedures van Twitter.

John Tye, oprichter van Whistleblower Aid en Zatko’s advocaat, zei tegen CNN “we staan ​​absoluut achter de inhoud van de onthulling van Mudge.”

Een persoon die Twitter gebruikt.

Ongepaste toegang en beperkt toezicht op het gedrag van werknemers creëert kansen voor bedreigingen van binnenuit, zoals de Saoedische medewerker, maar de Saoedische regering was niet de enige die meer toegang zocht tot de interne systemen van Twitter, beweert Zatko.

De Indiase regering heeft Twitter met succes “gedwongen” om agenten in dienst te nemen die namens haar werken, zegt de onthulling, “die (vanwege de fundamentele bouwfouten van Twitter) toegang zouden hebben tot enorme hoeveelheden gevoelige Twitter-gegevens.” Twitter heeft dat feit achtergehouden in zijn openbare transparantierapporten, voegt de onthulling eraan toe.

In het afgelopen jaar heeft de Indiase regering gepusht om haar controle over sociale media binnen haar grenzen uit te breiden, botsend met Twitter over het verwijderen van inhoud, dwong technische platforms om juridische en wetshandhavingscontactpersonen in het land in te huren en zelfs invallen uit te voeren op de lokale kantoren van Twitter. De persoon die bekend is met Zatko’s ambtstermijn zei dat de agenten van de Indiase regering waarnaar de onthulling verwijst in feite de juridische en wetshandhavingscontacten waren die vereist zijn volgens de Indiase wet.

Veel technologieplatforms zijn wereldwijde ondernemingen, en in sommige gevallen, zoals bij de poging van Rusland om technologiebedrijven te dwingen een lokaal hoofdkantoor te openen, kunnen hun werknemers onwetende hefbomen worden voor regeringen die druk op de bedrijven willen uitoefenen. Bedrijfs- en gebruikersgegevens die zijn opgeslagen op of toegankelijk zijn voor computers van werknemers, kunnen het risico lopen te worden geopend of in beslag genomen door lokale autoriteiten. De werknemers zelf, of hun families, lopen mogelijk het risico te worden bedreigd of gedwongen.

Maar de unieke kwetsbaarheden van Twitter op het gebied van cyberbeveiliging hebben ertoe geleid dat zijn lokale kantoren bijzonder gevoelige doelen zijn geworden, beweert Zatko. India, Nigeria en Rusland hebben allemaal “geprobeerd, met wisselend succes, om Twitter te dwingen lokale mensen aan te nemen”. [full-time employees] dat zou kunnen worden gebruikt als hefboom”, zegt de onthulling.

De zakelijke praktijken van Twitter ondermijnen niet alleen de belangen van de Verenigde Staten, maar ook die van alle democratische naties, zo beweert de onthulling, waarbij wordt verwezen naar de manier waarop het bedrijf vorig jaar een besluit van de Nigeriaanse regering heeft behandeld om Twitter maandenlang te blokkeren naar aanleiding van een presidentiële tweet die algemeen werd geïnterpreteerd als een bedreiging tegen enkele Nigeriaanse burgers en vervolgens verwijderd door Twitter.

Nigeria hief in januari het verbod op Twitter op, nadat de regering had gezegd dat het socialemediaplatform had ingestemd met al zijn voorwaarden. De voorwaarden zijn onder meer het naleven van de Nigeriaanse wetten over ‘verboden publicatie’.

Ondanks de bewering van Twitter dat het in onderhandeling was met Nigeria nadat het het bedrijf had opgeschort, hebben die gesprekken nooit echt plaatsgevonden, beweert Zatko. De vermeende verkeerde voorstellingen van Twitter over het inschakelen van de Nigeriaanse regering hebben niet alleen de investeerders van het bedrijf geschaad, zegt de onthulling, maar het gaf Nigeriaanse functionarissen ook dekking om veel grotere concessies van Twitter te eisen dan het bedrijf anders zou hebben gegeven.

De concessies hebben volgens Zatko’s onthulling “het recht op vrije meningsuiting en democratische verantwoording voor Nigeriaanse burgers geschaad”.

The Valley Voice
The Valley Voicehttp://thevalleyvoice.org
Christopher Brito is a social media producer and trending writer for The Valley Voice, with a focus on sports and stories related to race and culture.

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Share post:

Popular

More like this
Related

Hurricane Ian slams southwest Florida with “catastrophic” storm surge

Hurricane Ian is expected to inundate some parts of...

Khloe Kardashian reveals on The Kardashians that Tristan Thompson PROPOSED

After finally opening up about her ex Tristan Thompson's...

Biden Defends Social Security Against GOP Proposals

Democrats have spent much of the mid-term campaign arguing...

Brett Favre’s Charity for Needy Kids Gave $60K to His Daughter’s High School for Volleyball Facility

Before Brett Favre reportedly transferred $5 million in Mississippi...