Conheça o ex-executivo do Twitter que acusou rede de negligenciar cibersegurança
Ex-chefe de segurança alegou que a empresa de mídia social se envolveu em uma série de erros de segurança que enganaram o conselho do Twitter, os acionistas e o público
Há quase 25 anos, um jovem programador de computador chamado Peiter “Mudge” Zatko disse ao Congresso dos Estados Unidos que a internet era terrivelmente insegura.
Uma grande parte da questão, disse Zatko a um painel do Senado, é que as empresas de software e comércio eletrônico “querem ignorar os problemas o máximo possível. É mais barato para elas”.
Agora, Zatko está mais uma vez soando o alarme sobre vulnerabilidades online — mas desta vez ele está se concentrando em um de seus ex-empregadores.
Em uma divulgação de cerca de 200 páginas enviada no mês passado a legisladores e reguladores dos EUA, que foi relatada exclusivamente pela CNN e pelo Washington Post na última terça-feira (23), o ex-executivo de segurança do Twitter alegou que a empresa de mídia social se envolveu em uma série de erros de segurança que ele diz que enganaram o conselho do Twitter, os acionistas e o público.
O Twitter confiou a muitos funcionários com acesso a dados confidenciais de usuários, criando uma postura de segurança frágil que um estranho poderia explorar para causar estragos na plataforma, alega a divulgação de Zatko.
Também afirma que um ou mais funcionários atuais do Twitter podem estar trabalhando para um serviço de inteligência estrangeiro e que o CEO do Twitter, Parag Agrawal, enganou o conselho de administração da empresa ao desencorajar Zatko de fornecer uma conta completa das fraquezas de segurança do Twitter.
O Twitter rejeitou as alegações, dizendo que segurança e privacidade “há muito são as principais prioridades de toda a empresa”.
A empresa acrescentou: “Embora não tenhamos recebido uma cópia de nenhuma alegação específica, o que vimos até agora é uma narrativa sobre nossas práticas de privacidade e segurança de dados repleta de inconsistências e imprecisões e carece de contexto importante.”
Com sua decisão de tornar públicas suas preocupações, Zatko pode se encontrar no centro de um novo escrutínio regulatório do Twitter, como aconteceu quando Frances Haugen denunciou no Facebook. Ele está sendo representado pela Whistleblower Aid, o mesmo grupo que representou Haugen.
Zatko também pode ser arrastado para a batalha legal entre a empresa e o bilionário Elon Musk, que está tentando encerrar um acordo de US$ 44 bilhões para comprar o Twitter. O advogado de Musk disse que a equipe jurídica do bilionário já havia intimado Zatko na disputa com o Twitter.
Alguns que trabalharam ao lado de Zatko nas últimas três décadas pintam um retrato dele como um tecnólogo de princípios com um talento especial para tornar o complexo acessível e um desejo sincero de resolver problemas, como ele fez durante grande parte de sua carreira trabalhando com o público e setor privado.
A decisão de denunciar, dizem eles, está de acordo com essa abordagem.
“Ele não está fazendo isso por diversão. Não lhe dá nada”, disse Dave Aitel, ex-cientista da computação da Agência de Segurança Nacional e colega de Zatko na consultoria de segurança cibernética @stake. “Isso é realmente o que a integridade parece quando você tem que vê-la de perto.”
Como resultado de suas atividades de denunciante, Zatko pode ser elegível para um prêmio monetário do governo dos EUA.
“Informações originais, oportunas e confiáveis que levem a uma ação de execução bem-sucedida” pela SEC podem render aos denunciantes um corte de até 30% nas multas da agência relacionadas à ação se as penalidades chegarem a mais de US$ 1 milhão, disse a SEC.
A SEC concedeu mais de US$ 1 bilhão a quase 300 denunciantes desde 2012.
Zatko apresentou sua divulgação à SEC “para ajudar a agência a aplicar as leis” e para obter proteções federais para denunciantes, disse à CNN John Tye, fundador da Whistleblower Aid e advogado de Zatko.
“A perspectiva de uma recompensa não foi um fator na decisão de Zatko e, na verdade, ele nem sabia sobre o programa de recompensas quando decidiu se tornar um denunciante legal”.
Antes de ingressar no Twitter, Zatko, agora com 51 anos, liderou um influente programa de doações de segurança cibernética no Pentágono, trabalhou em uma divisão do Google para desenvolver tecnologia de ponta, ajudou a construir a equipe de segurança cibernética da fintech Stripe e aconselhou legisladores e autoridades dos EUA sobre como tapar falhas de segurança na internet.
Nascido no Alabama, onde seu pai era professor de química na Universidade do Alabama em Tuscaloosa, Zatko disse à CNN que começou a mexer com tecnologia como os primeiros computadores da Apple desde tenra idade.
Sua carreira mostrou que “havia mais no hacking do que apenas um contra o outro, que havia realmente um bem e impacto social que você poderia ter”, disse Dug Song, diretor de estratégia da Cisco Security, que conhece Zatko desde a década de 1990.
O Twitter contratou Zatko em novembro de 2020 para reforçar a segurança cibernética e a privacidade na empresa após um hack de alto perfil, supostamente liderado por um adolescente da Flórida, em julho de 2020, que comprometeu as contas do Twitter de algumas das pessoas mais famosas do planeta, incluindo o então candidato presidencial Joe Biden.
O cargo de executivo sênior significava que Zatko se reportava diretamente ao então CEO Jack Dorsey, de acordo com a divulgação.
Agrawal, sucessor de Dorsey como chefe do Twitter, demitiu Zatko em janeiro depois que ele levantou preocupações sobre as práticas de segurança e privacidade da empresa, diz a divulgação. O Twitter sustenta que demitiu Zatko por mau desempenho.
“Trata-se de algo com o qual todos deveriam se preocupar com grandes empresas, que é a honestidade e a veracidade dos dados que estão sendo… representados publicamente, as implicações de segurança nacional e se os usuários podem confiar seus dados a essas organizações”, disse Zatko sobre sua decisão de apresentar uma divulgação ao Congresso e reguladores sobre as supostas práticas de segurança do Twitter.
Uma longa história de pressionar por correções
Antes de cortar o cabelo e vestir um terno, Zatko se juntou ao coletivo de hackers da área de Boston conhecido como L0pht em meados da década de 1990, de acordo com “The Cult of the Dead Cow”, o livro do repórter do Washington Post Joseph Menn sobre como a cena inicial dos hackers moldou a indústria de segurança cibernética.
Os membros da L0pht invadiram sistemas de computador e depois trabalharam com empresas que fabricavam os equipamentos para corrigir os problemas. O que agora é uma prática bem estabelecida para as empresas trabalharem com pesquisadores externos para corrigir falhas de software foi visto como provocativo e perturbador para os gigantes do software na época.
Zatko “meio que dobrou a indústria à sua vontade”, disse Song à CNN. “A L0pht criou um modelo de como fazer isso de uma maneira que era, francamente, respeitável e honrosa.”
A franqueza e o idealismo de Zatko estavam em evidência quando ele testemunhou perante o Senado ao lado de outros membros do L0pht em 1998. “Se você está procurando por segurança de computador, então a internet não é o lugar para estar”, disse Zatko aos senadores.
“Se você acha que o governo está lhe dando acesso à tecnologia capacitadora que você precisa para combater esse problema, você está errado mais uma vez.”
Cris “Space Rogue” Thomas, outro ex-membro da L0pht que testemunhou ao lado de Zatko naquele dia, disse que a L0pht faria tudo o que pudesse para que as empresas corrigissem colaborativamente os problemas de software encontrados pelo grupo de hackers.
Thomas, que, como Zatko, usa seu nome de hacker “Space Rogue” profissionalmente, disse que ele e Zatko “tiveram nossas diferenças no passado”, acrescentando que ele foi demitido da @stake, a consultoria de segurança cibernética onde Zatko era cientista-chefe, em 2000.
“Os sentimentos foram feridos, mas isso não muda o fato de quem Zatko é e o que ele acredita e o que ele faz. Então eu ainda acho que seus padrões morais não mudaram realmente nos 30 anos que eu o conheço.”
“Isso é normal para Zatko”, disse ele sobre a queixa do denunciante. “Isso é normal para L0pht. Isso é normal para a maneira como costumávamos fazer as coisas.”
Em 2010, Zatko foi trabalhar para a Agência de Projetos de Pesquisa Avançada de Defesa (DARPA), braço de P&D do Pentágono, que teve um papel fundamental no estabelecimento da internet como a conhecemos.
Lá, ele liderou um programa que levou dinheiro rapidamente para pesquisadores de segurança cibernética interessados em encontrar e corrigir vulnerabilidades em sistemas de computadores encontrados em carros e outras infraestruturas críticas.
Depois de começar na DARPA em 2010, Zatko chamou Song e outros hackers para o escritório de Booz Allen Hamilton na Virgínia para uma sessão de brainstorming, de acordo com Song. Um hacker conhecido como Hobbit, que Zatko convidou, dormiu em uma van do lado de fora do escritório e compareceu à reunião descalço, disse Song.
A capacidade de convocar os desajustados e os militares ficou com Song.
“No fundo, Zatko é autêntico ao espírito hacker de uma maneira que muitas pessoas que passaram do nosso lado para o serviço comercial ou público foram capazes de fazer sem serem bregas”, Song disse à CNN.
Quando foi contratado para se juntar ao Twitter, Zatko enquadrou a mudança em termos de bem público. “Eu realmente acredito na missão de servir (equitativamente) à conversa pública”, ele twittou na época. “Eu vou fazer o meu melhor!”
Agora, enquanto ataca o Twitter, Zatko pode se encontrar na conversa pública como nunca antes.
“Esta não foi minha primeira escolha”, disse ele à CNN. “Este não era o caminho que eu queria seguir. Esgotei todas as opções internas.”
“Mas descobri que, eticamente, e com quem sou, sou obrigado a seguir a lei e buscar por vias legais, divulgação legal, porque o Twitter é uma plataforma extremamente importante”, disse Zatko. “Acho importante enfrentar alguns desses desafios. Sinceramente, acredito que ainda estou cumprindo a missão para a qual fui chamado.”
— Clare Duffy, Brian Fung e Donie O’Sullivan da CNN contribuíram para esta reportagem.