Бывший глава службы информационной безопасности Twitter рассказал сенаторам США о главных уязвимостях социальной сети
По словам бывшего главы информационной безопасности Twitter Питера Затко (Peiter Zatko), выступавшего во вторник перед членами юридического комитета Сената США, социальная сеть жертвует безопасностью в пользу прибылей — из-за этого сведения о пользователях могут попасть «не в те руки».
Как заявил Затко, не будет большим преувеличением сказать, что работающий в компании сотрудник способен перехватить контроль над аккаунтами всех сенаторов, присутствовавших на слушаниях. Данные о намерении Затко сотрудничать с властями впервые появились около месяца назад. По его мнению, в Twitter отсутствовали базовые меры защиты, а доступ к данным был практически свободным для сотрудников. По его данным, в их число проник и агент одной из иностранных спецслужб. На показаниях Затко строятся многочисленные спекуляции как представителей власти, так и адвокатов Илона Маска (Elon Musk), не желающего приобретать социальную сеть после сделанного ранее поспешного заявления о её покупке.
В Twitter опровергают слова бывшего сотрудника, утверждая, что компания контролирует доступ к данным, проводит проверки сотрудников и регулярный мониторинг систем безопасности, а показания Затко характеризуются многочисленными неточностями.
По данным бывшего топ-менеджера компании, системы Twitter настолько дезорганизованы, что платформа вообще не может сказать наверняка, удалены ли какие-либо данные безвозвратно — Twitter просто не знает, где хранятся все сведения и о каких данных вообще идёт речь. Поэтому компания неспособна эффективно защищать их. Более того, Затко заявил, что Twitter не имеет даже промежуточной среды для тестирования обновлений — это создаёт благоприятную среду для появления многочисленных багов и иных проблем.
Дополнительно Затко рассказал о том, что сотрудники Twitter имеют намного больше возможностей доступа к данным, чем должны были бы. «Неважно, у кого есть ключи, если у вас нет замков на дверях», — заявил он. По словам бывшего главы службы информационной безопасности, доступ должны иметь намного меньше людей, чем сейчас, поскольку подобная беспечность открывает большие возможности для подкупа и взломов.
Ещё одна важная проблема — отсутствие страха ответственности Twitter перед американскими властями. По словам Питера Затко, единовременные штрафы недостаточны для внедрения компанией более жёстких практик обеспечения информационной безопасности, даже если такой штраф измеряется сотнями миллионов долларов. Для этого необходима более жёсткая целенаправленная политика внешнего контроля.
Несмотря на уязвимости, Затко и эксперты подчёркивают, что удалять аккаунты пользователям вовсе не обязательно, поскольку современная реальность такова, что социальные сети стали аналогом «городской площади» и служат общему благу, а полностью отказаться от них практически невозможно.