Uzbunjivač raskrinkava Tviter: Kako je kompanija ugrozila nacionalnu bezbednost SAD i koliko je u ova otkrića umešan Mask

Tviter ima velike bezbednosne probleme koji predstavljaju pretnju ličnim podacima njegovih korisnika, akcionarima kompanije, nacionalnoj bezbednosti i demokratiji, navodi se u eksplozivnom otkriću uzbunjivača koji je svoje informacije podelio sa Si-En-Enom i "Vašington postom".

Dokument koji je prošlog meseca poslat Kongresu i saveznim agencijama daje sliku haotičnog okruženja u kompaniji kojom se loše upravlja, koja svom osoblju dozvoljava previše pristupa centralnim kontrolama platforme i najosjetljivijim informacijama bez adekvatnog nadzora. Takođe se navodi da su neki od najviših rukovodilaca kompanije pokušavali da prikriju ozbiljne nedostatke Tvitera i da jedan ili više sadašnjih zaposlenih možda radi za stranu obaveštajnu službu.

Uzbunjivač, koji je pristao da bude javno identifikovan, jeste Pejter Zatko, poznat po nadimku Blatnjavi, koji je ranije bio šef obezbeđenja kompanije i kao takav direktno odgovarao izvršnom direktoru.

Zatko dalje navodi da je rukovodstvo Tvitera obmanulo sopstveni odbor i vladine regulatore u vezi sa svojim bezbednosnim propustima, uključujući neke koji bi navodno mogli da otvore vrata stranom špijuniranju ili manipulaciji, hakovanju i kampanjama dezinformacija.

Uzbunjivač takođe tvrdi da Tviter ne briše na pouzdan način podatke korisnika nakon što oni uklone svoje naloge, u nekim slučajevima zato što je kompanija izgubila trag informacijama, i da je doveo u zabludu regulatore o tome da li briše podatke na adekvatan način.

Zatko dalje kaže da rukovodioci Tvitera nemaju resurse da u potpunosti razumeju pravi broj botova na platformi i da nisu bili motivisani da to utvrde. Botovi su nedavno postali centralni deo pokušaja Ilona Maska da odustane od ugovora o kupovini kompanije vrednog 44 milijarde dolara (iako Tviter negira Maskove tvrdnje).

Uzbunjivač je otpušten sa Tvitera u januaru zbog, kako kompanija tvrdi, lošeg učinka. Prema njegovim rečima, javno uzbunjivanje dolazi nakon što je pokušao da ukaže na bezbednosne propuste Tviterovom odboru i da pomogne kompaniji da reši višegodišnje tehničke nedostatke i navodno nepoštovanje ranijeg sporazuma o privatnosti sa Federalnom trgovinskom komisijom. Zatka predstavlja grupa "Whistleblower Aid", ista organizacija koja je predstavljala Fejsbukovu uzbunjivačicu Frensis Hogen.

Tviterovo šturo objašnjenje

Džon Taj, osnivač grupe i Zatkov advokat, rekao je za Si-En-En da Zatko nije bio u kontaktu sa Maskom, kao i da je započeo proces uzbunjivača pre nego što je bilo ikakvih naznaka da je Mask bio zainteresovan za Tviter.

Nakon objavljivanja ovih saznanja, Aleks Špiro, Maskov advokat, rekao je da je stupio u kontakt sa Zatkom i da je njegov odlazak i odlazak drugih zaposlenih iz kompanije zanimljiv u svetlu onoga što je otkriveno.

Ovim povodom oglasio se i Tviter, koji je u saopštenju naveo da su bezbednost i privatnost dugogodišnji prioriteti kompanije. Portparol kompanije takođe je istakao da ona pruža jasne alate za korisnike kojima mogu da kontrolišu privatnost, oglase i deljenje podataka i dodao da su kreirani interni tokovi rada kako bi se osiguralo da korisnici znaju da će Tviter deaktivirati naloge kada ih oni ukinu i pokrenu proces brisanja. Tviter je odbio da kaže da li inače sprovodi ovaj proces.

AP Photo/Gregory Bull

- Gospodin Zatko je otpušten sa svoje više izvršne funkcije u Tviteru u januaru 2022. zbog neefikasnog vođstva i lošeg učinka. Ono što smo do sada videli je lažna priča o Tviteru i našoj praksi privatnosti i bezbednosti podataka koja je prožeta nedoslednostima i netačnostima i nema važan kontekst. Čini se da su optužbe gospodina Zatka i oportunistički tajming dizajnirani da privuku pažnju i nanesu štetu Tviteru, njegovim klijentima i akcionarima. Bezbednost i privatnost su dugo bili prioriteti cele kompanije i biće i dalje - rekao je portparol Tvitera.

Poznati "etički haker", Zatko je takođe ranije bio na visokim pozicijama u Guglu, Strajpu i Ministarstvu odbrane SAD.

Problemi sa Agravalom i njegovim ljudima

Neke od Zatkovih najoštrijih tvrdnji potiču iz njegovog očigledno napetog odnosa sa Paragom Agravalom, bivšim glavnim tehnološkim direktorom kompanije koji je postao izvršni direktor nakon što je Džek Dorsi odstupio prošlog novembra. Prema podacima koji su podeljeni sa dva američka medija, Agraval i njegovi ljudi više puta su odvraćali Zatka da upravnom odboru kompanije pruži potpuni izveštaj o bezbednosnim problemima Tvitera.

Izvršni tim kompanije je navodno naložio Zatku da odboru dostavi usmeni izveštaj o svojim početnim nalazima o bezbednosnom stanju kompanije umesto da im da detaljan pisani izveštaj, naredio je Zatku da svesno predstavi odabrane i pogrešno predstavljene podatke kako bi stvorio lažnu percepciju napretka u rešavanju hitnih pitanja sajber-bezbednosti, dok je iza Zatkovih leđa odlučio da pročisti izveštaj konsultantske firme treće strane kako bi se sakrio pravi obim problema kompanije.

Printscreen

Obelodanjivanje gore navedenih podataka pokazalo je da je Zatko znatno blaži prema Dorsiju, koji ga je i angažovao i za koga je uzbunjivač istakao da veruje da je želeo da se problemi u kompaniji reše. Ali on se ipak predstavlja kao krajnje neangažovan u poslednjim mesecima vođenja Tvitera, do te mere da su neki ljudi koji su blisko sarađivali s njim razmatrali mogućnost da je bolestan.

Zatko veruje da je njegovo otpuštanje bila odmazda zbog toga što je ukazao na bezbednosne probleme kompanije.

Burne reakcije zvaničnika

Oštre optužbe, iznete na oko 200 stranica, koje uključuju prateće dokaze, poslate su prošlog meseca brojnim vladinim agencijama SAD i kongresnim komitetima, uključujući Komisiju za hartije od vrednosti, Federalnu komisiju za trgovinu i Ministarstvo pravde. Odbor za obaveštajne poslove Senata, koji je dobio kopiju izveštaja, ozbiljno shvata otkrivanje podataka i najavio je zakazivanje sastanka na kojem će se razgovarati o Zatkovim navodima, rekla je Rejčel Koen, portparol komiteta.

Senator Dik Durbin, koji predsedava pravosudnim komitetom Senata i koji je takođe dobio izveštaj, obećao je da će istražiti sve „i preduzeti dalje korake po potrebi kako bi se došlo do onoga što stoji iza ovih alarmantnih navoda“.

Senator Čak Grasli, glavni republikanac istog panela i strastveni korisnik Tvitera, takođe je izrazio duboku zabrinutost zbog ovih navoda.

AP Photo/Matt Rourke, File

- Uzmite tehnološku platformu koja prikuplja ogromne količine korisničkih podataka, kombinujte je sa nečim što se čini neverovatno slabom bezbednosnom infrastrukturom i dajte je stranim državnim akterima sa agendom, i imate recept za katastrofu. Tvrdnje koje sam dobio od Tviterovog uzbunjivača bude ozbiljnu zabrinutost za nacionalnu bezbednost, kao i pitanja privatnosti, i moraju se dalje istražiti - rekao je Grasli.

Federalna komisija za trgovinu trebalo bi da istraži te tvrdnje i izrekne novčane kazne i nađe odgovorne među određenim rukovodiocima Tvitera ako istraga utvrdi da su oni krivi za bezbednosne propuste, napisao je senator Ričard Blumental agenciji u pismu u utorak koje je dobio Si-En-En.

Blumental, koji predsedava potkomitetom Senata za zaštitu potrošača, u pismu naglašava pritisak sa kojim se posle obelodanjivanja izveštaja Tviter suočava.

- Ako Komisija energično ne nadgleda i ne sprovodi svoje naloge, oni neće biti shvaćeni ozbiljno i ovi opasni prekršaji će se nastaviti - napisao je Blumental.

Uzbunjivačeva priča

Zatko je prvi put privukao pažnju javnosti 1998. godine, kada je učestvovao na prvim kongresnim saslušanjima o sajber-bezbednosti.

- Celog života sam tražio mesta na koja bih mogao da odem i nešto promenim. To sam radio kroz oblast bezbednosti. To je moja glavna grana - rekao je on za Si-En-En u intervjuu ranije ovog meseca.

 

 

Događaji koji su doveli do njegove odluke da postane uzbunjivač počeli su pre nego što je radio na Tviteru, kada se 2020. dogodio veliki hakerski napad tokom kog su hakovani nalozi nekih od najpoznatijih ljudi sveta, uključujući tadašnjeg predsedničkog kandidata Džozefa Bajdena, bivšeg predsednika Baraka Obamu, Kim Kardašijan i Maska. Tviter je tada rekao da je kao odgovor na incident kompanija počela da deli pristup alatima za korisničku podršku.

Nakon napada Dorsi je zaposlio Zatka, poznatog „etičkog hakera“ koji je postao insajder za sajber-bezbednost i izvršni direktor koji je ranije imao visoke uloge u Guglu, Strajpu i Ministarstvu odbrane SAD, a tada je otkriveno i da je današnjem uzbunjivaču ponuđeno više sajber-pozicija još od prvog dana u Bajdenskoj administraciji.

Ono što Zatko kaže da je otkrio bila je kompanija sa izuzetno lošim bezbednosnim praksama, gde su hiljade zaposlenih u kompaniji, otprilike polovina radne snage, imali pristup nekim od važnih kontrolnih delova platforme. Njegov izveštaj opisuje ova otkrić kao „neverovatne nedostatke, nemar, namerno neznanje i pretnju nacionalnoj bezbednosti i demokratiji“.

Nakon pobune 6. januara 2021. Zatko je bio zabrinut zbog mogućnosti da neko na Tviteru ko simpatiše pobunjenike može da pokuša da manipuliše platformom kompanije. Zato je on probao da ograniči interni pristup koji omogućava inženjerima Tvitera da izvrše promene na platformi, poznatoj kao „proizvodno okruženje“.

Ali, kako se navodi u izveštaju, Zatko je ubrzo saznao „da je nemoguće zaštititi proizvodno okruženje. Svi inženjeri su imali pristup. Nije bilo evidentiranja ko je ulazio u okruženje ili šta je radio... Niko nije znao gde su podaci smešteni niti da li su kritični, a svi inženjeri su imali neki oblik problematičnog pristupa proizvodnom okruženju."

Tviter takođe nije imao mogućnost da radnike smatra odgovornim za propuste u informacionoj bezbednosti jer ima malo kontrole ili vidljivosti na individualnim radnim računarima zaposlenih, tvrdi Zatko, pozivajući se na interne izveštaje o sajber-bezbednosti u kojima se procenjuje da četiri od 10 uređaja ne ispunjavaju osnovne bezbednosne standarde.

 

 

Tviterova slaba serverska infrastruktura je zasebna, ali je podjednako ozbiljno ranjiva, tvrdi se u izveštaju. Otprilike polovina od 500.000 servera kompanije radi na zastarelom softveru koji ne podržava osnovne bezbednosne funkcije kao što su šifrovanje uskladištenih podataka ili redovna bezbednosna ažuriranja dobavljača, navodi se u pismu regulatorima i februarskom mejlu koji je Zatko napisao Patriku Pičetu, članu Tviterovog odbora koji je uključen u izveštaj.

Kompanija takođe nema dovoljno zaliha i procedura za ponovno pokretanje ili oporavak u slučaju pada centara podataka, navodi Zatko, što znači da bi čak i manji prekidi u nekoliko centara podataka u isto vreme mogli da onemoguće ceo Tviterov servis, možda zauvek.

Tviter nije odgovorio na pitanja o riziku od prekida u centru podataka, ali je istakao da su ljudi u timovima za inženjering i proizvode Tvitera ovlašćeni da pristupe proizvodnom okruženju ako imaju specifično poslovno opravdanje za to. Tviterovi zaposleni koriste uređaje koje nadgledaju drugi IT i bezbednosni timovi koji imaju moć da spreče povezivanje uređaja sa osetljivim internim sistemima ukoliko se koristi zastareli softver, dodao je Tviter.

Tviter ima interne bezbednosne alate koje kompanija redovno testira, a svake dve godine angažuje se i spoljni revizori, kaže osoba upoznata sa Zatkovim mandatom u kompaniji, koja dodaje da nekim Zatkovim statistikama o bezbednosti uređaja fali kredibilitet i da ih je izveo mali tim koji nije pravilno uzeo u obzir postojeće bezbednosne procedure Tvitera.

Ali zabrinutost za bezbednost Tvitera izražena je još pre 2020. godine. Federalna komisija za trgovinu podnela je 2010. žalbu protiv Tvitera zbog pogrešnog rukovanja privatnim informacijama korisnika i zbog toga što previše zaposlenih ima pristup centralnim kontrolama Tvitera.

AP Photo/Gregory Bull

Žalba je rezultirala naredbom o saglasnosti Federalne komisije za trgovinu koja je finalizovana sledeće godine i u kojoj je Tviter obećao da će srediti svoje probleme i stvoriti i održavati „sveobuhvatni program za bezbednost informacija“.

Zatko navodi da, uprkos suprotnim tvrdnjama kompanije, ona „nikada nije bila u skladu“ sa onim što je Federalna komisija za trgovinu zahtevala pre više od 10 godina. Zbog navodnih neuspeha da se pozabavi ranjivostima na koje je ukazala, kao i drugim nedostacima, kaže on, Tviter ima „anormno visoku stopu bezbednosnih incidenata“, otprilike jedan nedeljno, koji je dovoljno ozbiljan da zahteva da se prijavi vladinim agencijama.

- Na osnovu mog profesionalnog iskustva, slične kompanije nemaju ovoliku veličinu ili obim incidenata - napisao je Zatko u februarskom pismu odboru Tvitera nakon što je iz kompanije otpušten u januaru.

Strane pretnje

Tviter je izuzetno podložan da ga strana vlada upotrebi tako da potkopa američku nacionalnu bezbednost, a kompanija na svom platnom spisku trenutno možda ima čak i strane špijune, navodi se u izveštaju.

Prema Zatkovim navodima, američka vlada dostavila je Tviteru konkretne dokaze neposredno pre nego što je on otpušten, ukazujući na to da je bar jedan od zaposlenih, a možda i više njih, radio za obaveštajnu službu druge vlade. U izveštaju se ne navodi da li je Tviter već bio svestan toga ili je naknadno postupio po dojavi.

Parag Agraval; Profimedia

Prošle godine, pre početka ruske vojne operacije u Ukrajini, Agraval, tada glavni tehnološki direktor Tvitera, predložio je Zatku da Tviter bude u skladu sa ruskim zahtevima koji bi mogli da dovedu do široko zasnovane cenzure ili nadzora platforme, navodi Zatko, ali ne otkriva više detalja o tome.

Prošlog leta, međutim, Rusija je donela zakon kojim se vrši pritisak na tehnološke platforme da otvore lokalne kancelarije u zemlji ili da se suoče sa potencijalnim zabranama reklamiranja, što je potez za koji su zapadni stručnjaci za bezbednost rekli da ima za cilj da Rusiji pruži veću kontrolu nad američkim tehnološkim kompanijama.

Iako je Agravalov predlog na kraju odbačen, to je i dalje bio alarmantan znak da je Tviter spreman da se prilagodi u želji za rastom, kaže Zatko.

Činjenica da je trenutni izvršni direktor Tvitera čak sugerisao da Tviter postane saučesnik sa Putinovim režimom razlog je za zabrinutost zbog uticaja Tvitera na nacionalnu bezbednost SAD, kaže se u Zatkovom izveštaju.

Zatkov izveštaj dospeo je u javnost samo dve nedelje nakon što je bivši menadžer Tvitera osuđen za špijuniranje u korist Saudijske Arabije.

Saudijski slučaj naglašava težinu optužbi koje Zatko sada iznosi na Tviteru. Njegov izveštaj bi mogao dodatno da podstakne dvostranačku zabrinutost u Vašingtonu u vezi sa stranim protivnicima i pretnjama po sajber-bezbednost, od krađe podataka američkih građana do manipulacije američkim biračima ili krađe tehnologije i poslovnih tajni.

Profimedia

Tviter nije odgovorio na konkretna pitanja o svojim navodnim slabostima kada su u pitanju strane obaveštajne službe.

Maskov uticaj

Zatkovo otkrivanje dolazi u posebno važnom trenutku za Maska, koji je uključen u pravnu bitku sa Tviterom zbog pokušaja da odustane od kupovine kompanije. Musk je optužio Tviter da laže o broju lažnih naloga na svojoj platformi, što bi, kako tvrdi, trebalo da mu omogući da raskine ugovor.

Iako obavezujući ugovor o kupovini koji je Musk u aprilu potpisao sa Tviterom nije uključivao nikakva izuzeća vezana za botove, milijarder tvrdi da broj botova na platformi utiče na korisničko iskustvo i da bi više botova nego što je ranije bilo poznato moglo da utiče na dugoročnu vrednost kompanije.

Nakon što je Mask odlučio da prekine kupovinu, Tviter je odgovorio tužbom u kojoj se navodi da koristi botove kao izgovor da izađe iz dogovora nakon što se pokajao zbog nedavnog pada vrednosti akcija, i zatražio od suda da ga primora da okonča započeto. Predmet bi trebalo da se reši u oktobru pred sudom u Delaveru.

Broj korisnika je vitalna informacija za bilo koje poslovanje na društvenim mrežama, jer prihod od oglašavanja zavisi od toga koliko ljudi bi potencijalno moglo da vidi oglas. Ali brojke koje govore o tome koliko korisnika Tviter ima ili koliko ljudi zapravo vidi dati oglas na sajtu, nepouzdane su u čitavoj tehnološkoj i medijskoj industriji zbog manipulacije i grešaka.

Profimedia

Jedini među kompanijama društvenih medija, Tviter prijavljuje svoje korisničke brojeve investitorima i oglašivačima koristeći merenje koje naziva dnevnim aktivnim korisnicima koji se mogu unovčiti ili mDAU. Njegovi rivali jednostavno broje i prijavljuju sve aktivne korisnike; do 2019. Tviter je takođe funkcionisao na taj način, ali je to značilo da su Tvitterove brojke bile podložne značajnim promenama u određenim situacijama, uključujući i uklanjanje velikih mreža robota.

Tako je Tviter prešao na mDAU, za koji kaže da broji sve korisnike kojima bi se mogla prikazati reklama na Tviteru - ostavljajući sve naloge na koje iz nekog razloga ne mogu da računaju, na primer zato što se zna da su botovi, u posebnom delu.

Kompanija je u više navrata izveštavala da manje od 5 odsto njenih mDAU čine lažni ili neželjeni nalozi, a osoba koja je upoznata sa tim ove nedelje je potvrdila tu procenu Si-En-Enu i ukazala na druga otkrića investitora rekavši da se cifra oslanja na značajnu procenu koja možda neće tačno odražavaju stvarnost.

Zatko kaže da je počeo da se raspituje o rasprostranjenosti naloga botova na Tviteru početkom 2021. godine, a šef odeljenja za integritet sajta Tvitera rekao mu je da kompanija ne zna koliko ukupno botova ima na njenoj platformi. On navodi da je izašao iz razgovora sa timom za integritet sa razumevanjem da kompanija „nema apetita da pravilno meri rasprostranjenost botova“, delom zato što bi, ako bi pravi broj postao javan, to moglo da naškodi vrednosti i imidžu kompanije.

Stručnjaci za neautentično ponašanje na mreži kažu da može biti teško kvantifikovati „botove“ jer ne postoji široko usaglašena definicija tog pojma i zato što oni stalno menjaju svoju taktiku. Takođe postoji mnogo bezopasnih robota na Tviteru (i širom interneta), kao što su automatizovani nalozi za vesti, a Tviter nudi opciju za uključivanje koja omogućava takvim nalozima da se transparentno označavaju kao automatizovani.

Profimedia

Tviter je za Si-En-En rekao da tvrdnja da ne zna koliko botova je na njegovoj platformi nema kontekst, ponavljajući da nisu svi botovi loši i dodajući da bi fokusiranje na ukupan broj botova na Tviteru uključivalo i one koje je kompanija možda već identifikovala i preduzela mere protiv njih. Kompanija takođe ne veruje da može da uhvati svaki neželjeni nalog na platformi, rekao je Tviter, zbog čega prijavljuje cifru od manje od 5 odsto, što odražava ručnu procenu.

Ali Zatko je rekao za Si-En-En da misli da bi i dalje bilo korisno pokušati da se izmeri ukupan broj neželjenih, lažnih ili na drugi način potencijalno štetnih automatizovanih naloga na platformi.

- Izvršni tim, odbor, akcionari i korisnici, svi zaslužuju iskren odgovor šta je to što oni troše što se tiče podataka i informacija i sadržaja. Bar sa moje tačke gledišta, Želim da ulažem u kompaniju u kojoj znam šta se zapravo dešava jer želim strateški da investiram u dugoročnu vrednost organizacije - rekao je on.

Tviter kaže da dozvoljava botove na svojoj platformi, ali njegova pravila zabranjuju one koji se bave neželjenom poštom ili manipulacijom platformom. Ali, kao i kod svih pravila platformi društvenih medija, izazov često leži u sprovođenju njihovih politika.

Kompanija kaže da redovno izaziva, suspenduje i uklanja naloge koji se bave neželjenom poštom i manipulacijom platformom, uključujući obično uklanjanje više od milion neželjenih naloga svakog dana. Tviter je rekao da ukupan broj botova na platformi nije koristan broj, a kompanija je odbila da odgovori na pitanja o ukupnom broju naloga na platformi ili prosečnom broju novih naloga koji se dnevno dodaju na platformu.

Dovodeći u sumnju sposobnost Tvitera da proceni pravi broj lažnih i neželjenih naloga, Zatkovi navodi mogli bi da pruže municiju za Maskovu centralnu tvrdnju da je cifra mnogo veća nego što je Tviter javno objavio.

Izlaskom u javnost, Zatko kaže da veruje da radi posao za koji je angažovan za platformu za koju kaže da je ključna za demokratiju.

- Džek Dorsi mi je pružio ruku i zamolio me da dođem i obavim važan zadatak na Tviteru. Potpisao sam da to uradim i verujem da još obavljam tu misiju - rekao je on.

Bonus video

Pratite sve vesti iz Srbije i sveta na našem Telegram kanalu.

Instalirajte našu iOS ili android aplikaciju – 24sedam Vest koja vredi