15 Сентября 2022 08:13 15 Сен 2022 08:13 |

Поделиться

Бывший директор по безопасности Twitter: В компании полный бардак с безопасностью

Далеко идущие последствия

Пейтер Затко (Peiter Zatko), этический хакер и бывший директор по информационной безопасности компании Twitter, выступил с докладом на заседании юридического комитета Сената США с докладом, заявив, помимо прочего, что в руководстве Twitter засели «иностранные агенты влияния».

Затко пригласили в Twitter отвечать за информационную безопасность в 2020 г., после семи лет его работы в Google (а ранее в DARPA). В январе 2022 г. Затко был уволен со своего поста.

23 августа в публичное поле попала официальная жалоба Затко в Конгресс США и регулирующие органы, в которой утверждалось, что руководители Twitter активно нарушали множество юридических нормативов, в том числе те, которые связаны с использованием клиентской информации.

Также, по утверждению Затко, противодействие спам-ботам не выдерживало никакой критики. Затко прямо обвинил нескольких высших руководителей Twitter, в том числе исполнительного директора Twitter Парага Агравала (Parag Agrawal) в ложных и некорректных заявлениях относительно того, как внутри платформы обеспечивается приватность и безопасность данных и модерация контента, что является прямым нарушением Акта о Федеральной торговой комиссии 1914 г., который, в частности, объявляет незаконными некоторые методы ведения бизнеса, - и правил раскрытия информации перед Комиссией по биржам и ценным бумагам.

Экс-директор Twitter по ИБ, заявил в Конгрессе США, что в Twitter не соблюдаются нормы защиты данных, а руководство компании активно дезинформирует регуляторов

Издание The Wall Street Journal сообщило в начале сентября, что руководство Twitter выплатило бывшему директору по безопасности $7 млн, потребовав взамен, чтобы Затко не делал никаких публичных заявлений относительно своей работы в Twitter и не порочил её имя. Однако условия соглашения не распространяются на слушания в Конгрессе, связанные с поданной жалобой.

Слушания состоялись и, вероятно, будут иметь далеко идущие последствия не только для Twitter.

Что сказал хакер

В своей жалобе Затко заявляет, что в Twitter царит безалаберное отношение даже к самым базовым вопросам кибербезопасности и защиты данных, а также что компания ставила собственные интересы и прибыль выше интересов пользователей. И отказывалась исправлять нарушения.

На слушаниях в Сенате он повторил эти обвинения. По его словам, около половины сотрудников Twitter - разработчики (инженеры), которые имеют обширный практический доступ к внутренним системам компании. При этом у самих этих систем отсутствуют системы ведения журналов событий, так что отследить, кто и что делал, и установить, имел ли место неправомерный доступ к какой-либо информации, практически невозможно. «Какая разница, у кого ключи, если на дверях нет замков», - заявил Затко на слушаниях в Конгрессе.

По его словам, внутри платформы обеспечен очень широкий доступ к личным данным пользователям, включая их местоположение. Такие данные могут представлять повышенный интерес для иностранных разведок, заметил Пейтер Затко.

«Нам известно, что персональные данные Twitter могли быть доступны иностранным разведывательным агентствам», - заявил во время слушаний сенатор Чак Грассли (Chuck Grassley), представитель Республиканской партии от Айовы, отметив, что речь идёт о двух лицах, которые во время работы в Twitter взаимодействовали с индийскими спецслужбами. Грассли также заявил, что ФБР предупреждала руководство Twitter о присутствии минимум одного китайского агента среди сотрудников компании.

Затко подтвердил эту информацию, добавив, что и сам говорил одному из руководителей компании, что, дескать, в неком подразделении компании завёлся иностранный агент. Ответом было странное замечание, что, мол, если уже один есть, какая разница, будет ли больше, давайте расширять штат.

Затко отметил также, что деятельность регуляторов в отношении Twitter оставлять желать много большего: по его словам, Федеральную торговую комиссию в Twitter в грош не ставят, хотя к проверкам со стороны, например, европейских регуляторов относятся с куда большей опаской.

В 2011 г. Федеральная торговая комиссия США обвинила Twitter в нарушениях нормативов по защите данных; дело закончилось внесудебным соглашением, по условиям которого Twitter обязывался выполнять целый ряд условий. Уже в этом году ФТК подала в суд иск о нарушении Twitter этого соглашения - в связи с тем, что компания собирала телефонные номера пользователей под предлогом обеспечения безопасности, а затем использовала эти сведения в рекламных целях. Twitter согласился выплатить штраф в $150 млн. Как заявил Затко, для компании таких масштабов, как Twitter, этот штраф - капля в море, которая не может ни на что повлиять.

В ответ на вопрос, кто может заставить Twitter отвечать за свои поступки, Затко ответил, что необходимы новые стандарты регулирования высокотехнологических компаний, которые дадут регуляторам необходимые инструменты.

Как пишет издание The Record, во время слушаний сенаторы предложили сразу несколько законотворческих решений для проблем, освещённых в ходе выступления Затко; в их числе подготовленный представителями обеих партий проект, который предоставит Федеральной торговой комиссии дополнительные регулирующие полномочия.

Сама комиссия недавно начала разработку новых правил обеспечения приватности и безопасности данных в коммерческом секторе, которые позволят принципиально поменять подход к этому вопросу. В настоящее время комиссия рассматривает каждый случай нарушений отдельно, изолированно от других.

Кроме того, в настоящее время Федеральная торговая комиссия ограничена в правах воздействовать на компании, совершивших нарушения впервые: в 2021 году Верховный суд существенно ограничил Комиссию вправе взыскивать финансовые компенсации с нарушителей.

«Глобальные социальные медиа охватывают множество рынков, на которых правила защиты пользовательских данных могут выглядеть по-разному, - говорит Дмитрий Гвоздев, генеральный директор компании «Информационные технологии будущего». - При этом везде регулирующие органы будут настаивать, чтобы сетевой сервис, вне зависимости от своего происхождения, соблюдал эти правила, и это совершенно логично и закономерно. Вопросов тут возникает два. Первый - это насколько локальные правила отвечают интересам конечных пользователей. Второй - какие реальные инструменты имеются у регуляторов, чтобы привлекать сервис к реальной ответственности и насколько они эффективны, то есть, насколько для отдельно взятой компании будет выгоднее соблюдать правила игры, а не выплачивать штрафы за их нарушения. Судя по всему, у Федеральной торговой комиссии США таких инструментов сейчас недостаточно. Есть, однако, угроза, что в случае избыточного регулирования хайтека проблемы возникнут у конечных пользователей».

Контекст

Пейтер Затко был принят на работу лично основателем и бывшим руководителем Twitter Джеком Дорси (Jack Dorsey) после того, как в ноябре 2020 года хакеры скомпрометировали множество аккаунтов знаменитостей и политиков. К этому времени Twitter с его колоссальной аудиторией уже регулярно обвиняли в том, что сервис позволяет использовать себя в качестве инструмента информационного воздействия на массы и минимум дважды вызывали по этой причине на ковёр в Сенат - сначала в 2018 г. (в связи с предполагаемыми попытками повлиять на исход выборов президента 2016-го года), затем в 2020 г., и тогда Дорси заявил, что у Twitter нет возможности каким-либо образом манипулировать общественным мнением, хотя истинность этого утверждения вызывает вопросы.

В начале 2020 г. хедж-фонд Elliott Management, во главе которого стоит миллиардер-республиканец Пол Сингер (Paul Singer), на правах акционера потребовал смещения Джека Дорси с его поста. Дорси, однако, поддержали Илон Маск (Elon Musk) и сооснователь Ethereum Виталик Бутерин, и исполнительный директор Twitter остался на месте. Но лишь до конца 2021 г.

В начале 2021 г., после инцидента около Белого Дома, Twitter закрыл аккаунт проигравшего выборы Дональда Трампа (Donald Trump) под предлогом призывов к насильственным действиям. Это привело к общемировому скандалу. И без того частые обвинения руководства Twitter в отсутствии нейтралитета стали общим местом.

Дорси ушёл с поста 2021 г., и его сменил бывший CTO Параг Агравал, который в одном из первых интервью в новом качестве заявил, что платформу «здоровая дискуссия» теперь интересует куда больше, чем свобода слова.

14 апреля 2022 г. Илон Маск, глава Tesla и SpaceX, объявил, что планирует купить Twitter за $43-44 млрд. К тому моменту у Маска в распоряжении уже были 9,1% акций компании, что делало его одним из мажоритарных акционеров. Маск прямо заявил, что сделает компанию частной фирмой, что собирается расширить функциональность платформы, раскрыть код её алгоритмов, вычистить спам-ботов и обеспечить полную свободу слова (в том числе, разбанить аккаунт Трампа). Но в июле он заявил об отказе в сделке, сославшись на то, что руководство компании предоставило ему ложную информацию о её состоянии, о количестве ботов и действиях по борьбе с ними. Спустя несколько дней, впрочем, руководство Twitter подало судебный иск против Маска с требованием завершить сделку по приобретению - на прежних условиях. Процесс начнётся 17 октября 2022 г.

Заявления и жалобы Пейтера Затко обеспечивают Маску значительные козыри, чтобы не сказать, рычаги давления на нынешнее руководство Twitter. Сам он утверждает, что больше не хочет выкупать Twitter, поскольку его дезинформировали, но не исключено, что речь идёт больше о попытках снизить цену сделки.

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка