أدلى رئيس الأمن السابق في تويتر ، بيتر “مودج” زاتكو بشهادته أمام لجنة بمجلس الشيوخ يوم الثلاثاء أن صاحب عمله السابق أعطى الأولوية للأرباح على معالجة المخاوف الأمنية التي قال إنها تعرض معلومات المستخدم لخطر الوقوع في الأيدي الخطأ.
قال زاتكو لأعضاء اللجنة القضائية بمجلس الشيوخ ، بعد أقل من شهر من توليه رئاسة مجلس الشيوخ: “ليس بعيد المنال أن نقول إن موظفًا داخل الشركة يمكنه تولي حسابات جميع أعضاء مجلس الشيوخ في هذه الغرفة”. تم الإبلاغ عن شكوى المبلغين علنًا.
شهد Zatko أن Twitter يفتقر إلى تدابير الأمان الأساسية ولديه نهج حر للوصول إلى البيانات بين الموظفين ، مما يفتح النظام الأساسي لمخاطر كبيرة. كما كتب في شكواه ، قال زاتكو إنه يعتقد أن وكيلًا للحكومة الهندية تمكن من أن يصبح موظفًا في الشركة ، وهو مثال على عواقب ممارسات الأمن المتراخية.
بيتر “مودج” زاتكو ، الرئيس السابق للأمن في تويتر ، يدلي بشهادته أمام اللجنة القضائية في مجلس الشيوخ بشأن أمن البيانات على تويتر ، في مبنى الكابيتول هيل ، 13 سبتمبر 2022 في واشنطن العاصمة.
كيفين ديتش | صور جيتي
تضيف الشهادة الوقود إلى انتقادات المشرعين بأن منصات التكنولوجيا الرئيسية تضع الإيرادات وأهداف النمو على حماية المستخدم. في حين أن العديد من الشركات لديها عيوب في أنظمتها الأمنية ، فإن مكانة تويتر الفريدة باعتبارها ساحة عامة بحكم الأمر الواقع قد ضاعفت من اكتشافات زاتكو ، والتي اكتسبت أهمية إضافية بالنظر إلى الخلاف القانوني بين تويتر وإيلون ماسك.
سعى Musk إلى شراء الشركة مقابل 44 مليار دولار ، لكنه حاول بعد ذلك التراجع عن الصفقة ، مدعياً أن Twitter كان يجب أن يكون أكثر استعدادًا لتقديم معلومات حول كيفية حساب النسبة المئوية لحسابات البريد العشوائي. قال قاضٍ في القضية مؤخرًا إن ماسك يمكنه مراجعة مطالباته المضادة للإشارة إلى القضايا التي أثارها زاتكو.
شكك متحدث باسم Twitter في شهادة Zatko وقال إن الشركة تستخدم ضوابط الوصول والتحقق من الخلفية وأنظمة المراقبة والكشف للتحكم في الوصول إلى البيانات.
وقال المتحدث في بيان إن “جلسة اليوم تؤكد فقط أن مزاعم السيد زاتكو مليئة بالتناقضات وعدم الدقة” ، مضيفة أن توظيف الشركة مستقل عن النفوذ الأجنبي.
فيما يلي النقاط الرئيسية من شهادة زاتكو
عدم السيطرة على البيانات
يظهر شعار Twitter على شاشة هاتف Redmi في هذا الرسم التوضيحي للصور في وارسو ، بولندا في 23 أغسطس 2022.
نورفوتو | صور جيتي
وفقًا لـ Zatko ، فإن أنظمة Twitter غير منظمة لدرجة أن النظام الأساسي لا يمكنه التأكد مما إذا كان قد تم حذف بيانات المستخدمين بالكامل. ذلك لأن Twitter لم يتتبع مكان تخزين كل هذه البيانات.
قال زاتكو: “إنهم لا يعرفون ما هي البيانات التي بحوزتهم ، أو أين تعيش أو من أين أتت ، وبالتالي ، ومن غير المفاجئ ، لا يمكنهم حمايتها”.
قال كريم حجازي ، الرئيس التنفيذي لشركة بريفليون للاستخبارات الإلكترونية ، إن المؤسسات الكبيرة مثل تويتر غالبًا ما تواجه “انجرافًا في البنية التحتية” ، عندما يأتي الناس ويذهبون ، ويتم أحيانًا إهمال الأنظمة المختلفة.
قال حجازي ، الذي شغل سابقًا منصب مدير المخابرات في مانديانت ، المملوكة الآن لشركة جوجل. “المشكلة الآن ، على عكس المرآب حيث يمكنك الذهاب إليه ويمكنك البدء في تفكيكه بطريقة منهجية … لا يمكنك ببساطة مسح قاعدة البيانات لأنها عبارة عن لحاف خليط من المعلومات الجديدة والمعلومات القديمة.”
قال حجازي إن إزالة بعض الأجزاء دون معرفة ما إذا كانت قطعًا بالغة الأهمية قد يخاطر بإفساد النظام الأوسع.
لكن خبراء الأمن أعربوا عن دهشتهم من شهادة Zatko بأن Twitter لم يكن لديه حتى بيئة مرحلية لاختبار التحديثات ، ويمكن للمهندسين أن يتخذوا خطوة وسيطة بين بيئات التطوير والإنتاج لحل المشكلات مع الكود الخاص بهم قبل تفعيله.
قال حجازي: “كان ذلك مفاجئًا للغاية بالنسبة لشركة تكنولوجية كبيرة مثل تويتر لعدم امتلاكها الأساسيات”. حتى أصغر الشركات الناشئة الصغيرة في العالم التي بدأت قبل سبعة أسابيع ونصف تمتلك بيئات للتطوير والتنفيذ والإنتاج “.
كريس ليمان ، الرئيس التنفيذي لشركة SafeGuard Cyber ونائب رئيس FireEye السابق ، قال “سيكون ذلك صادمًا بالنسبة لي” إذا كان صحيحًا أن Twitter لا يحتوي على بيئة انطلاق.
وقال إن “المنظمات الأكثر نضجًا” ستتخذ هذه الخطوة لمنع الأنظمة من التعطل على موقع الويب المباشر.
قال ليمان: “بدون بيئة مرحلية ، فإنك تخلق المزيد من الفرص للأخطاء والمشاكل”.
وصول الموظف الواسع إلى معلومات المستخدم
تظهر صورة ظلية للموظف أسفل شعار Twitter Inc.
ديفيد بول موريس | بلومبرج | صور جيتي
قال زاتكو إن عدم فهم مكان حياة البيانات يعني أن الموظفين يتمتعون أيضًا بوصول أكبر بكثير مما ينبغي عليهم الوصول إلى أنظمة تويتر.
قال زاتكو: “لا يهم من لديه مفاتيح إذا لم يكن لديك أي أقفال على الأبواب”.
ادعى Zatko أن المهندسين ، الذين يشكلون جزءًا كبيرًا من الشركة ، يتم منحهم حق الوصول إلى بيئة الاختبار المباشر على Twitter افتراضيًا. وقال إن هذا النوع من الوصول يجب أن يقتصر على مجموعة أصغر.
قال حجازي و Lehman إنه نظرًا لوجود عدد كبير من الموظفين الذين يمكنهم الوصول إلى المعلومات المهمة ، فإن الشركة معرضة لأنشطة إشكالية مثل الرشاوى والقرصنة.
لا يخيف المنظمون الأمريكيون الشركات حتى تلتزم
مقر لجنة التجارة الفيدرالية في واشنطن العاصمة
كينيث كيزنوسكي / سي إن بي سي
وشهد زاتكو بأن الغرامات التي تُدفع لمرة واحدة والتي تنتج غالبًا عن التسويات مع المنظمين الأمريكيين مثل لجنة التجارة الفيدرالية ليست كافية لتحفيز ممارسات أمنية أقوى.
وقال إن الشركة ستكون أكثر قلقًا بشأن المنظمين الأوروبيين الذين قد يفرضون علاجات أكثر ديمومة.
وقال زاتكو: “أثناء وجودي هناك ، كان القلق حقًا يتعلق بكمية أكبر بكثير”. “أو إذا كانت ستشكل مخاطر إعادة هيكلة مؤسسية أكبر. لكن هذا المبلغ لم يكن ليثير القلق أثناء وجودي هناك.”
بيتر “مودج” زاتكو ، الرئيس السابق للأمن في تويتر ، يدلي بشهادته أمام اللجنة القضائية في مجلس الشيوخ بشأن أمن البيانات على تويتر ، في مبنى الكابيتول هيل ، 13 سبتمبر 2022 في واشنطن العاصمة.
كيفين ديتش | صور جيتي
قال زاتكو وخبراء أمنيون آخرون إنه على الرغم من العيوب ، لا ينبغي أن يشعر المستخدمون بالضرورة بأنهم مضطرون لحذف حساباتهم.
قال ليمان: “يمكن للناس دائمًا أن يختاروا فقط قطع الاتصال”. “لكن الواقع هو أن منصات التواصل الاجتماعي هي منابر للحوار. وهي ساحة البلدة الجديدة. وهذا يخدم الصالح العام. أعتقد أنه سيكون من السيئ إذا توقف الناس عن استخدامها.”
قال حجازي إنه لا فائدة من الاختباء.
قال “هذا مستحيل في هذا اليوم وهذا العصر”. “ومع ذلك ، أعتقد أن كونك ساذجًا للاعتقاد بأن هذه المنظمات لديها بالفعل هذا الأمر تحت السيطرة وأن معلوماتك مؤمنة بالفعل هو أمر خاطئ.”
اشترك في CNBC على موقع يوتيوب.
راقب: الوجه المتغير للخصوصية في الوباء