Cáo buộc nguy hại nhất trên Twitter

Zakto cáo buộc thêm rằng Twitter không có môi trường phát triển hoặc thử nghiệm toàn diện để thử nghiệm các tính năng mới và nâng cấp hệ thống trước khi đưa chúng vào phần mềm sản xuất trực tiếp. Do đó, Zatko mô tả một tình huống trong đó các kỹ sư sẽ làm việc cùng với các hệ thống trực tiếp và “thử nghiệm trực tiếp trên dịch vụ thương mại, dẫn đến sự gián đoạn dịch vụ thường xuyên.” Và các tài liệu cáo buộc rằng một nửa số nhân viên của Twitter có đặc quyền truy cập vào các hệ thống sản xuất trực tiếp và dữ liệu người dùng mà không cần giám sát để có thể bắt được bất kỳ hành động giả mạo nào hoặc theo dõi hoạt động không mong muốn. Khiếu nại của Zatko mô tả Twitter có khoảng 11.000 nhân viên. Twitter cho biết họ hiện có khoảng 7.000 nhân viên.

Các khiếu nại khẳng định rằng các hoạt động bảo mật kém này giải thích cho hồ sơ theo dõi của Twitter về các sự cố bảo mật, vi phạm dữ liệu và chiếm đoạt tài khoản người dùng nguy hiểm.

“Chúng tôi đang xem xét các tuyên bố đã được biên tập lại đã được xuất bản,” Giám đốc điều hành Twitter Parag Agrawal đã viết trong một tin nhắn cho nhân viên Twitter sáng nay. “Chúng tôi sẽ theo đuổi tất cả các con đường để bảo vệ sự liêm chính của mình với tư cách là một công ty và lập nên kỷ lục.”

Twitter nói rằng tất cả các máy tính của nhân viên đều được quản lý tập trung và bộ phận CNTT của nó có thể buộc cập nhật hoặc áp đặt các hạn chế truy cập nếu các bản cập nhật không được cài đặt. Công ty cũng cho biết trước khi một máy tính có thể kết nối với các hệ thống sản xuất, nó phải vượt qua một cuộc kiểm tra để đảm bảo phần mềm của nó được cập nhật và chỉ những nhân viên có “lý do kinh doanh” mới có thể truy cập vào môi trường sản xuất cho “những mục đích cụ thể. ”

Al Sutton, đồng sáng lập và giám đốc công nghệ của Snapp Automotive, là kỹ sư phần mềm của nhân viên Twitter từ tháng 8 năm 2020 đến tháng 2 năm 2021. Anh ấy lưu ý trong một tweet hôm thứ Ba rằng Twitter không bao giờ loại bỏ anh ấy khỏi nhóm GitHub nhân viên có thể gửi các thay đổi phần mềm để mã hóa công ty quản lý trên nền tảng phát triển. Sutton đã có quyền truy cập vào các kho lưu trữ tư nhân trong 18 tháng sau khi rời khỏi công ty, và anh đăng bằng chứng Twitter sử dụng GitHub không chỉ cho công việc nguồn mở, mà còn cho các dự án nội bộ. Trong khoảng ba giờ sau khi đăng về quyền truy cập, Sutton báo cáo rằng nó đã bị thu hồi.

“Tôi nghĩ Twitter tỏ ra khá bình thường về những tuyên bố của Mudge, vì vậy tôi nghĩ một ví dụ có thể xác minh được có thể hữu ích cho mọi người,” anh nói với WIRED. Khi được hỏi liệu những lời buộc tội của Zatko có theo đúng kinh nghiệm của anh ấy khi làm việc tại Twitter hay không, Sutton nói thêm, “Tôi nghĩ điều tốt nhất nên nói ở đây là tôi không có lý do gì để nghi ngờ những tuyên bố của anh ấy.”

Các kỹ sư và nhà nghiên cứu bảo mật nhấn mạnh rằng mặc dù có nhiều cách khác nhau để tiếp cận bảo mật môi trường sản xuất, nhưng có một vấn đề về khái niệm nếu nhân viên có quyền truy cập rộng vào dữ liệu người dùng và mã được triển khai mà không cần ghi nhật ký rộng rãi. Một số tổ chức áp dụng cách tiếp cận hạn chế mạnh mẽ quyền truy cập, trong khi những tổ chức khác sử dụng kết hợp quyền truy cập rộng hơn và giám sát liên tục, nhưng một trong hai lựa chọn phải là lựa chọn có ý thức mà một công ty đầu tư nhiều. Ví dụ: sau khi chính phủ Trung Quốc vi phạm Google vào năm 2010, công ty đã hoàn thành tất cả các phương pháp tiếp cận trước đây.

Perry Metzger, đối tác quản lý của công ty tư vấn Metzger cho biết: “Không thực sự là điều bất thường đối với các công ty có chính sách tương đối tự do về việc cho phép các kỹ sư tiếp cận với hệ thống sản xuất, nhưng khi họ làm như vậy thì họ rất nghiêm ngặt về việc ghi nhật ký mọi thứ đã hoàn thành. Dowdeswell & Công ty. “Mudge có một danh tiếng hàng đầu, nhưng hãy nói rằng anh ta hoàn toàn không đủ năng lực. Điều dễ dàng đối với họ là cung cấp chi tiết kỹ thuật của hệ thống ghi nhật ký mà họ sử dụng để kỹ sư truy cập vào hệ thống sản xuất. Nhưng những gì Mudge đang miêu tả là một nền văn hóa nơi mọi người muốn che đậy mọi thứ hơn là sửa chữa chúng, và đó là một chút đáng lo ngại. “

Zatko và Whistleblower Aid, nhóm pháp lý phi lợi nhuận đại diện cho anh ta, cho biết họ đứng về phía các tài liệu được công bố vào thứ Ba. “Twitter có ảnh hưởng to lớn đối với cuộc sống của hàng trăm triệu người trên khắp thế giới và nó có các nghĩa vụ cơ bản đối với người dùng và chính phủ để cung cấp một nền tảng an toàn và bảo mật,” Libby Liu, Giám đốc điều hành của Whistleblower Aid, cho biết trong một tuyên bố.

Tuy nhiên, hiện tại, các cáo buộc làm dấy lên một loạt lo ngại nghiêm trọng mà dường như khó có thể nhanh chóng được giải thích hoặc giải quyết một cách toàn diện.