Twitter ha estat amagant greus vulnerabilitats, segons l'excap de seguretat de l'empresa

Twitter hauria mentit els seus usuaris, accionistes i a les institucions reguladores dels Estats Units sobre els múltiples problemes que té en la gestió de la seva seguretat, que han posat en perill usuaris, accionistes i, fins i tot, la democràcia i la seguretat nacional del país on té la seu.

No només això: Twitter també hauria enganyat sobre el nombre de bots existents a la plataforma, i la seva plantilla inclouria agents secrets de països que els haurien pressionat per poder tenir accés privilegiat a una de les plataformes més utilitzades per dissidents polítics.

Aquestes acusacions no venen d'un personatge qualsevol, sinó que les plasma en un informe de 84 pàgines el que va ser, fins al gener passat, el màxim responsable de la seguretat a la xarxa social, Peiter Zatko.

Twitter whistleblower Peiter "Mudge" Zatko is credible, capable, "brutally honest," peers say https://t.co/2MGzUgvD1o pic.twitter.com/VKgOpJ3bTo

— The Verge (@verge) August 23, 2022

El càrrec de Zatko suposava un dels rols executius principals de l'empresa. A més, en l'àmbit professional, el nom de Peiter Zatko és el d'una de les veus amb més autoritat en el sector de la ciberseguretat, tot i que també és conegut pel seu àlies de hacker: Mudge.

El document elaborat per Zatko, al qual han tingut accés en exclusiva The Washington Post i la CNN, l'hauria enviat el mes passat a agències federals i al Congrés dels Estats Units. Un cop se n'han fet ressò els mitjans, l'informe ha provocat un autèntic terratrèmol a l'empresa i al sector tecnològic.

#BREAK A former Twitter executive, its head of security, has turned whistleblower.

He alleges grave security problems at the company that he says are a risk to national security and democracy.

His first TV interview here:https://t.co/QU823RBnN1 pic.twitter.com/krh7WVOrhe

— Donie O'Sullivan (@donie) August 23, 2022

Les "deficiències extremes i flagrants" que ha denunciat Zatko en la gestió de les dades de Twitter poden suposar un important punt d'inflexió en la situació financera de Twitter, però, sobretot, en el litigi que té obert la plataforma amb el director executiu de Tesla i fundador de Space X, Elon Musk.

Les filtracions de Mudge

Peiter Zatko considera, en la seva primera entrevista televisiva per a la CNN, que Twitter és un "recurs crític per a tot el món, una plataforma extremadament important" que "no només conforma l'opinió pública, sinó que pot canviar governs"  i per això es va unir a l'empresa fa un parell d'anys.

Segons apunta el Washington Post, en un determinat moment durant aquests anys, Zatko va preguntar com es podia protegir la infraestructura de Twitter de manera que cap hacker o treballador descontent pogués sabotejar el servei. Li van contestar, assegura en l'informe, que no es podia fer i que milers de treballadors podien causar un gran caos si ho volguessin.

Per Zatko, la seguretat de l'empresa està mal gestionada i permet a masses membres del seu personal accedir als taulers de control principals i a informació sensible sense que se supervisi adequadament.

Durant el darrer any a l'empresa, Zatko hauria tingut nombroses desavinences amb el conseller executiu, Parag Agrawal, sobre què compartir amb els òrgans de decisió de la plataforma. En l'informe explica que alguns dels alts executius de la companyia han estat "intentant tapar les greus vulnerabilitats de Twitter".

De fet, algunes de les acusacions que més han cridat l'atenció apunten que un o diversos empleats de Twitter podrien ser en realitat agents secrets que estarien treballant per a un servei d'intel·ligència estranger.

Segons el que diu l'informe, i apunta l'agència Reuters,"l'empresa no va revelar als usuaris que l'equip executiu creia que el govern de l'Índia havia aconseguit col·locar agents a la nòmina de l'empresa". De fet, un exempleat de Twitter ha estat condemnat recentment per haver espiat dissidents saudites.

L'informe també assegura que la direcció de Twitter ha enganyat la seva pròpia junta i els reguladors governamentals sobre les seves vulnerabilitats de seguretat, que podrien portar a "campanyes d'espionatge o manipulació, pirateria i desinformació estrangera".

La gestió de les dades dels seus usuaris també és conflictiva, segons el seu exresponsable de seguretat, que assegura que Twitter "no elimina de manera fiable les dades dels usuaris" quan cancel·len els seus comptes, tot i assegurar als reguladors que ho fa.

Una de les afirmacions de l'informe que podria donar nous arguments a Elon Musk per esquivar la compra de Twitter és que els executius de Twitter "no tenen recursos per entendre completament el nombre real de bots a la plataforma".

De fet, tampoc tenen incentius per fer-ho, descobrir el nombre real d'usuaris que utilitzen la plataforma podria fer perillar "els seus bonus"; per tant, qualsevol xifra donada fins ara estaria sota una ombra de dubte.

Arran de la publicació de l'existència d'aquest informe, els advocats d'Elon Musk han decidit citar Zatko pel judici previst pel 17 d'octubre, dos dies després d'haver citat també l'exdirector general de Twitter i un dels seus fundadors, Jack Dorsey. 

Peiter Zatko, de salvador a desterrat

L'expert en ciberseguretat i reconegut hacker Peiter, Mudge, Zatko, va aterrar a l'empresa just després de l'atac més important de la història de Twittter, quan un hacker de 17 anys va prendre el control dels comptes oficials de famosos amb una gran base de seguidors.

D'un dia per l'altre, personatges de l'altura de l'expresident nord-americà, Barack Obama; el fundador d'Amazon, Jeff Bezos; el mateix Elon Musk, i el fundador de Microsoft, Bill Gates, van començar a demanar als seus seguidors de Twitter que els enviessin bitcoins prometent retornar-los el doble del seu valor. Una estafa que va suposar a l'atacant uns guanys de més de 100.000 euros.

Jack Dorsey encara era aleshores el conseller executiu de Twitter, i no va dubtar a contactar Zatko per evitar que mai més es repetís un forat de seguretat similar. Així i tot, tal com explica l'expert, l'empresa té un problema endèmic en la seva cultura de ciberseguretat i ni tan sols li van permetre fer la seva feina sense obstacles.

El gener de 2022, Parag Agrawal, el va acabar acomiadant pel seu "inefectiu lideratge i pobre rendiment", tal com ha explicat en un correu intern enviat aquest dimarts als treballadors de Twitter arran de la polèmica. En aquest correu, Parag explica que Twitter està preparant una resposta oficial a les acusacions:

"Estem revisant les afirmacions que s'han publicat, però el que hem vist fins ara és una narració falsa que està plena d'incoherències i inexactituds, presentades sense context important."

La vicepresidenta global de comunicacions de Twitter, Rebecca Hahn, l'ha acusat de buscar "de manera oportunista infligir danys a Twitter, als seus clients i als seus accionistes", però els advocats de Zatko ho neguen. Curiosament, Agrawal va ser el càrrec de màxima autoritat per als temes de seguretat fins l'arribada de Zatko.

Per Zatko, les raons del seu acomiadament es resumeixen en un de sol: fer la seva feina com a responsable de seguretat. Una represàlia per l'informe que havia començat a redactar i que pretenia documentar i denunciar els nombrosos problemes de seguretat que havia detectat a Twitter i per voler traslladar les seves preocupacions al Comitè Executiu i al Consell d'Administració de la companyia.

Un cop se li va impedir acabar aquest informe des de dins la companyia i en veure's acomiadat a principis d'any, Zatko va decidir acabar de documentar l'informe des de fora i enviar-lo al Congrés i a les agències federals dels Estats Units, com la Comissió de Valors i la Borsa dels Estats Units.

Please support our work for Mudge Zatko, the Twitter whistleblower: https://t.co/2yTEBHJFfZ?

— Whistleblower Aid (@wbaidlaw) August 23, 2022

Abans, Peiter Zatko es va acollir a la normativa federal que protegeix els treballadors d'empreses o organitzacions públiques que filtren informació interna per denunciar irregularitats, i ha comptat amb l'ajuda de Whistleblower Aid, l'organització sense ànim de lucre que també va donar suport a la filtradora de Facebook Frances Haugen.