يشهد المبلغون عن المخالفات على تويتر أمام مجلس الشيوخ على وجود ثغرات أمنية خطيرة

أدلى رئيس الأمن السابق في تويتر ، بيتر “مودج” زاتكو بشهادته أمام لجنة بمجلس الشيوخ يوم الثلاثاء أن صاحب عمله السابق أعطى الأولوية للأرباح على معالجة المخاوف الأمنية التي قال إنها تعرض معلومات المستخدم لخطر الوقوع في الأيدي الخطأ.

قال زاتكو لأعضاء اللجنة القضائية بمجلس الشيوخ ، بعد أقل من شهر من توليه رئاسة مجلس الشيوخ: “ليس بعيد المنال أن نقول إن موظفًا داخل الشركة يمكنه تولي حسابات جميع أعضاء مجلس الشيوخ في هذه الغرفة”. تم الإبلاغ عن شكوى المبلغين علنًا.

شهد Zatko أن Twitter يفتقر إلى تدابير الأمان الأساسية ولديه نهج حر للوصول إلى البيانات بين الموظفين ، مما يفتح النظام الأساسي لمخاطر كبيرة. كما كتب في شكواه ، قال زاتكو إنه يعتقد أن وكيلًا للحكومة الهندية تمكن من أن يصبح موظفًا في الشركة ، وهو مثال على عواقب ممارسات الأمن المتراخية.

تضيف الشهادة الوقود إلى انتقادات المشرعين بأن منصات التكنولوجيا الرئيسية تضع الإيرادات وأهداف النمو على حماية المستخدم. في حين أن العديد من الشركات لديها عيوب في أنظمتها الأمنية ، فإن مكانة تويتر الفريدة باعتبارها ساحة عامة بحكم الأمر الواقع قد ضاعفت من اكتشافات زاتكو ، والتي اكتسبت أهمية إضافية بالنظر إلى الخلاف القانوني بين تويتر وإيلون ماسك.

سعى Musk إلى شراء الشركة مقابل 44 مليار دولار ، لكنه حاول بعد ذلك التراجع عن الصفقة ، مدعياً ​​أن Twitter كان يجب أن يكون أكثر استعدادًا لتقديم معلومات حول كيفية حساب النسبة المئوية لحسابات البريد العشوائي. قال قاضٍ في القضية مؤخرًا إن ماسك يمكنه مراجعة مطالباته المضادة للإشارة إلى القضايا التي أثارها زاتكو.

شكك متحدث باسم Twitter في شهادة Zatko وقال إن الشركة تستخدم ضوابط الوصول والتحقق من الخلفية وأنظمة المراقبة والكشف للتحكم في الوصول إلى البيانات.

وقال المتحدث في بيان إن “جلسة اليوم تؤكد فقط أن مزاعم السيد زاتكو مليئة بالتناقضات وعدم الدقة” ، مضيفة أن توظيف الشركة مستقل عن النفوذ الأجنبي.

فيما يلي النقاط الرئيسية من شهادة زاتكو

وفقًا لـ Zatko ، فإن أنظمة Twitter غير منظمة لدرجة أن النظام الأساسي لا يمكنه التأكد مما إذا كان قد تم حذف بيانات المستخدمين بالكامل. ذلك لأن Twitter لم يتتبع مكان تخزين كل هذه البيانات.

قال زاتكو: “إنهم لا يعرفون ما هي البيانات التي بحوزتهم ، أو أين تعيش أو من أين أتت ، وبالتالي ، ومن غير المفاجئ ، لا يمكنهم حمايتها”.

قال كريم حجازي ، الرئيس التنفيذي لشركة بريفليون للاستخبارات الإلكترونية ، إن المؤسسات الكبيرة مثل تويتر غالبًا ما تواجه “انجرافًا في البنية التحتية” ، عندما يأتي الناس ويذهبون ، ويتم أحيانًا إهمال الأنظمة المختلفة.

قال حجازي ، الذي شغل سابقًا منصب مدير المخابرات في مانديانت ، المملوكة الآن لشركة جوجل. “المشكلة الآن ، على عكس المرآب حيث يمكنك الذهاب إليه ويمكنك البدء في تفكيكه بطريقة منهجية … لا يمكنك ببساطة مسح قاعدة البيانات لأنها عبارة عن لحاف خليط من المعلومات الجديدة والمعلومات القديمة.”

كريس ليمان ، الرئيس التنفيذي لشركة SafeGuard Cyber ونائب رئيس FireEye السابق ، قال “سيكون ذلك صادمًا بالنسبة لي” إذا كان صحيحًا أن Twitter لا يحتوي على بيئة انطلاق.

وقال إن “المنظمات الأكثر نضجًا” ستتخذ هذه الخطوة لمنع الأنظمة من التعطل على موقع الويب المباشر.

قال ليمان: “بدون بيئة مرحلية ، فإنك تخلق المزيد من الفرص للأخطاء والمشاكل”.

قال زاتكو إن عدم فهم مكان حياة البيانات يعني أن الموظفين يتمتعون أيضًا بوصول أكبر بكثير مما ينبغي عليهم الوصول إلى أنظمة تويتر.

قال زاتكو: “لا يهم من لديه مفاتيح إذا لم يكن لديك أي أقفال على الأبواب”.

ادعى Zatko أن المهندسين ، الذين يشكلون جزءًا كبيرًا من الشركة ، يتم منحهم حق الوصول إلى بيئة الاختبار المباشر على Twitter افتراضيًا. وقال إن هذا النوع من الوصول يجب أن يقتصر على مجموعة أصغر.

قال حجازي و Lehman إنه نظرًا لوجود عدد كبير من الموظفين الذين يمكنهم الوصول إلى المعلومات المهمة ، فإن الشركة معرضة لأنشطة إشكالية مثل الرشاوى والقرصنة.

قال زاتكو السناتور ريتشارد بلومنتال ، د-كونيتيكت ، أن تسوية بقيمة 150 مليون دولار مثل تلك التي تم التوصل إليها على تويتر مع لجنة التجارة الفيدرالية في مايو بشأن مزاعم بأنها أساءت تمثيل كيفية استخدامها لمعلومات الاتصال لاستهداف الإعلانات ، لن تكون كافية لردع الشركة عن الممارسات الأمنية السيئة.

اشترك في CNBC على موقع يوتيوب.

راقب: الوجه المتغير للخصوصية في الوباء