Beheer

Security
Twitter

Klokkenluider: security bij Twitter is een puinhoop

'Twitter-management misleidde eigen raad en toezichthouders over kwetsbaarheden.'

© Shutterstock Twin Design
23 augustus 2022

'Twitter-management misleidde eigen raad en toezichthouders over kwetsbaarheden.'

De cybersecurity bij Twitter is een puinhoop. Dat stelt het voormalige hoofd van security van het sociale netwerk in een brief aan het Amerikaanse Congres en diverse overheidsinstanties. Deze klokkenluidersbrief is in handen gekomen van CNN en The Washington Post. Veel van de werknemers bij Twitter hebben bijvoorbeeld toegang tot de centrale bedieningselementen en gevoelige informatie, zonder adequaat toezicht daarop.

De brief werd geschreven door Peiter "Mudge" Zatko, die tot januari dit jaar het hoofd van security bij Twitter was, zo schrijven CNN en The Washington Post. Voor die tijd was hij ook al een bekende security-expert, hacker en prominent lid van de hackerdenktank L0pht en van de oer-hackersorganisatie Cult of the Dead Cow.

Zatko werd in januari dit jaar door Twitter ontslagen, volgens het bedrijf omdat hij slechte prestaties leverde. Zatko zegt zelf echter dat hij beveiligingsproblemen bij de raad van bestuur probeerde te melden en jaren van technische tekortkomingen probeerde te fixen. Nu deelt hij als klokkenluider de securityproblemen van Twitter.

Misleiding, privacyschending en bots

Volgens Zatko zijn er diverse problemen bij Twitter wat betreft beveiliging. Allereerst zouden veel werknemers dus verregaande toegang hebben tot onder meer gevoelige data, zonder dat daar goed toezicht op wordt gehouden. Daarnaast zouden topmensen in het bedrijf de meest ernstige kwetsbaarheden in de doofpot stoppen. Ook zouden één of meer huidige werknemers mogelijk voor een buitenlandse inlichtingendienst werken. Daarover is recent een voormalig Twitter-manager veroordeeld.

Zatko stelt verder dat het management van Twitter zijn eigen raad van bestuur, maar ook toezichthouders van de overheid misleidt over kwetsbaarheden. Een aantal van die kwetsbaarheden zouden spionage door buitenlandse organisaties, manipulatie, hacking en nepnieuwscampagnes mogelijk maken. Ook worden toezichthouders misleid wat betreft het verwijderen van data. Dat zou niet altijd goed gedaan worden als gebruikers hun accounts verwijderen.

Een laatste beschuldiging draait om een heet hangijzer bij Twitter: bots. Tesla-topman Elon Musk blies zijn voorgenomen overname van Twitter onlangs af, onder meer omdat hij wil weten hoeveel bots het social network heeft. Een onderzoek daarna werd volgens Musk echter gedwarsboomd. Zatko zegt nu in zijn brief dat Twitter niet goed weet hoeveel bots het platform heeft en dat het dat ook helemaal niet wil weten.

Twitter: beveiliging is prioriteit

Een woordvoerder van Twitter zegt tegenover CNN dat het verhaal van Zatko een "vals narratief" is en vol zit met "inconsistenties en onnauwkeurigheden". Ook zegt de woordvoerder dat er belangrijke context ontbreekt en dat het erop lijkt dat Zatko het bedrijf bewust schade wil toebrengen. Ook zegt de woordvoerder dat security en privacy prioriteiten zijn voor het bedrijf en dat er allerlei duidelijke tools zijn voor gebruikers om hun privacy en datadeling te beheren.

Hacker Peiter Zatko is in november 2020 aangetrokken door Twitter om daar als hoofd van security de beveiliging te verbeteren:

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.