5 principais conclusões de ex-Twitter que acusa rede de negligenciar segurança

O ex-chefe de segurança do Twitter está denunciando as práticas da empresa que, segundo ele, prejudicaram a segurança nacional dos Estados Unidos e enganaram investidores e reguladores. Com uma declaração de quase 200 páginas ao governo dos EUA, Peiter “Mudge” Zatko se tornou o mais recente denunciante da indústria de tecnologia.

Zatko faz uma enxurrada de alegações devastadoras que os legisladores norte-americanos que receberam a declaração dizem ser extremamente preocupantes.

Especialista em segurança cibernética altamente respeitado, com experiência em cargos seniores no Google, Stripe e no Departamento de Defesa americano, Zatko afirma que o Twitter está cheio de falhas críticas de segurança; pode não estar excluindo os dados dos usuários que saem da plataforma, mesmo sendo obrigatório fazê-lo; enganou o público sobre o problema das contas de spam; pode ter atualmente agentes de inteligência estrangeiros na folha de pagamento; e que não cumpriu anos de obrigações legais decorrentes de um acordo de privacidade anterior com a Federal Trade Commission (FTC), o que poderia levar a mais responsabilidades.

Veja abaixo algumas das principais conclusões da declaração apresentada por Zatko.

Twitter está repleto de vulnerabilidades de segurança

Uma das grandes alegações de Zatko é que os dados do Twitter não são seguros. A empresa rotineiramente permite que milhares de funcionários – representando cerca de metade de sua força de trabalho e todos os seus engenheiros – trabalhem diretamente no produto ativo do Twitter e interajam com dados reais do usuário, alega o relatório.

Essa é uma grande mudança, afirma Zatko, do padrão em empresas como Google e Meta, onde os desenvolvedores são obrigados a usar dados fictícios para realizar codificação e testes em sandboxes especializadas que não tocam nos principais produtos que os consumidores usam.

Somente esse fato, de acordo com Zatko, cria uma série de problemas de segurança: o potencial de funcionários desonestos bisbilhotarem as informações dos usuários do Twitter, ou que uma atualização mal codificada poderia tornar parte ou toda a plataforma inutilizável, ou que problemas internos podem dar às pessoas de for a acesso significativo aos sistemas do Twitter de maneiras que não seriam possíveis em outras empresas.

Em várias situações, o Twitter descobriu que os funcionários instalaram spyware (software espião) intencionalmente em seus computadores a pedido de organizações terceirizadas, de acordo com o documento. Não está claro quantos funcionários podem estar envolvidos nos incidentes de spyware.

Esse tipo de acesso expansivo é o que contribuiu para um incidente de 2020 no qual hackers controlaram contas pertencentes a Joe Biden, Barack Obama, Elon Musk e uma série de outras pessoas poderosas.

E é responsável, alega Zatko, por uma taxa vertiginosa de incidentes de segurança – aproximadamente um por semana – que o público pode não saber, mas que são tão sérios que a empresa é obrigada a reportá-los a autoridades como a Federal Trade Commission (FTC) e a Ireland’s Data Protection Commission.

Zatko também alega que o Twitter não exclui de forma confiável os dados dos usuários depois que eles cancelam suas contas, em alguns casos porque a empresa perdeu o controle das informações e enganou os reguladores sobre se exclui os dados, como é obrigatório fazê-lo.

Em resposta a mais de 50 perguntas específicas da CNN sobre a declaração, a empresa disse que membros de suas equipes de engenharia e produtos estão autorizados a acessar a plataforma do Twitter se tiverem uma justificativa comercial específica para fazê-lo, mas que membros de outros departamentos – como finanças, jurídico, marketing, vendas, recursos humanos e suporte – não podem.

A empresa também disse que usa verificações automatizadas para garantir que laptops com software desatualizado não possam acessar o ambiente de produção e que os funcionários só podem fazer alterações no produto ativo do Twitter depois que o código atender a certos requisitos de manutenção de registros e revisão.

Os funcionários do Twitter usam dispositivos supervisionados por outras equipes de tecnologia da informação e segurança com o poder de impedir que um dispositivo se conecte a sistemas internos confidenciais se estiver executando um software desatualizado, acrescentou o Twitter.

E criou fluxos de trabalho internos para garantir que os usuários saibam que, quando cancelarem suas contas, o Twitter desativará as contas e iniciará um processo de exclusão, disse a empresa. O Twitter se recusou a dizer se normalmente conclui o processo.

Twitter poderia facilmente calcular uma métrica melhor para estimar contas de spam, mas prefere não fazê-lo

O documento de declaração de Zatko pode dar a Elon Musk mais munição para alegar que o Twitter está sendo evasivo em relação aos bots – um argumento que Musk apresentou para justificar o desejo de desistir da compra do Twitter por US$ 44 bilhões.

Durante anos, o Twitter disse em arquivos de investidores que contas falsas ou de spam representam menos de 5% dos usuários ativos diários que o Twitter acredita que pode monetizar com publicidade.

Mas a declaração de Zatko afirma que a estatística pode não apresentar uma imagem completa do número de contas de spam na plataforma, porque não representa contas de spam como uma porcentagem de todas as contas no Twitter – apenas como um subconjunto de alguns usuários seletos do Twitter que a empresa vê como significativo comercial.

Em 2021, Zatko diz que o chefe de integridade do site do Twitter disse a ele que a empresa não sabe realmente quantos bots podem existir no Twitter. Os executivos não tinham incentivo para descobrir, Zatko alega na declaração, porque “eles estavam preocupados que, se medições precisas se tornassem públicas, isso prejudicaria a imagem e o valor da empresa”.

À luz dessa alegação, um tweet em maio do CEO do Twitter, Parag Agrawal, afirmando que a empresa é “fortemente incentivada a detectar e remover o máximo de spam possível, todos os dias”, é uma “mentira” descarada, diz Zatko no documento.

O Twitter disse à CNN que a alegação de que a empresa não sabe quantos bots estão em sua plataforma carece de contexto, reiterando que nem todos os bots são ruins e acrescentando que focar no número total de bots incluiria aqueles que a empresa já pode ter identificado e tomado medidas necessárias.

A empresa também não acredita que possa capturar todas as contas de spam na plataforma, disse o Twitter, e é por isso que relata o número inferior a 5%, o que reflete uma estimativa manual, em seus registros financeiros.

O Twitter não respondeu à alegação de Zatko sobre o tweet de Agrawal ser uma mentira.

Alguns ou todos os serviços do Twitter podem ser forçados a ficar offline, talvez para sempre

Em parte devido a seus problemas de segurança cibernética, diz o documento, os data centers do Twitter correm constantemente o risco de cair. E a empresa deturpou sua capacidade de se recuperar de interrupções simultâneas do data center, alega Zatko.

Mais da metade dos 500 mil servidores do Twitter rodam em software desatualizado, afirma o relatório; muitos supostamente carecem de padrões básicos de segurança, como a capacidade de criptografar dados armazenados, enquanto outros servidores não recebem mais suporte do fornecedor porque o software em que são executados é muito antigo.

Se vários data centers falharem ao mesmo tempo, a falta de um processo de recuperação abrangente do Twitter pode torná-lo um incidente potencialmente catastrófico, forçando o Twitter a ficar offline por meses ou mesmo permanentemente em um “evento existencial de encerramento da empresa”, de acordo com o documento.

O Twitter também não pagou pelos direitos de propriedade intelectual de todos os conjuntos de dados que treinam sua inteligência artificial, alega a declaração. Como resultado, afirma Zatko, alguns dos principais recursos do Twitter, como o algoritmo de recomendação que decide quais tweets mostrar aos usuários, podem estar operando ilegalmente.

Se as empresas que fornecem os dados forem processadas para fazer valer seus direitos, isso pode levar a grandes perdas financeiras para o Twitter e potencialmente até forçá-lo a parar de oferecer os recursos que a suposta violação ajudou a criar, de acordo com o relatório.

O Twitter não respondeu às alegações de Zatko sobre riscos de interrupção do data center ou violações de propriedade intelectual.

Twitter é vulnerável à exploração estrangeira e pode até agora ter espiões estrangeiros em sua folha de pagamento

Devido à fraca postura geral de segurança cibernética do Twitter, governos estrangeiros que obtêm acesso à empresa – ou que podem se beneficiar dela – podem causar enormes danos aos interesses e à segurança nacional dos EUA, alega o documento.

A ameaça não é teórica, de acordo com o relatório. Ele afirma que pouco antes de Zatko ser demitido do Twitter em janeiro, o governo dos EUA deu ao Twitter uma dica específica de que um ou mais de seus funcionários estava trabalhando para uma agência de inteligência estrangeira.

Não está claro se o Twitter sabia ou se agiu com base nas informações. Mas não seria a primeira vez: a declaração se tornou pública poucos dias depois que um júri condenou um ex-funcionário do Twitter por espionagem para a Arábia Saudita. Esse incidente, que foi descoberto em 2019, é anterior à dica descrita na declaração.

O documento também alega que Agrawal, enquanto era diretor de tecnologia do Twitter e nos meses anteriores à invasão da Ucrânia pela Rússia, propôs fazer concessões à Rússia que poderiam ter ajudado a empresa a crescer no país, ao custo de permitir ampla censura ou vigilância da plataforma.

“O fato de o atual CEO do Twitter ter sugerido que o Twitter se tornasse cúmplice do regime de Putin é motivo de preocupação sobre os efeitos do Twitter na segurança nacional dos EUA”, diz a declaração.

O documento também afirma que o Twitter recebeu dinheiro de fontes chinesas e, em troca, compartilhou informações que poderiam levar à identificação de usuários chineses do Twitter que contornaram ilegalmente a censura do governo para acessar a plataforma. Os executivos estão cientes do risco, mas acreditam que a empresa depende demais do dinheiro para parar de aceitá-lo, diz a declaração.

Além disso, Zatko afirma que a Índia “obrigou” o Twitter a contratar agentes do governo que teriam amplo acesso aos sistemas internos do Twitter, e que a empresa não divulgou o fato em seus relatórios de transparência. As tensões do Twitter com a Índia aumentaram, pois especialistas em direitos civis disseram que o país aumentou o autoritarismo digital em meio à pandemia.

O Twitter não respondeu às alegações de Zatko sobre a China, a Rússia, a Índia ou a dica do governo dos EUA. Uma pessoa familiarizada com o assunto e com o mandato de Zatko no Twitter, disse à CNN que os agentes indianos que Zatko descreve são funções exigidas pelo governo que o país exige das plataformas de tecnologia sob suas leis locais.

Twitter está violando seus muitos compromissos com a FTC

A declaração de Zatko alega violações “extensas, repetidas [e] ininterruptas” da lei federal que proíbe práticas comerciais injustas ou enganosas.

Em seu documento ao governo dos EUA, Zatko afirma que o Twitter enganou deliberadamente os reguladores sobre o manuseio de dados de usuários e que a empresa não está cumprindo suas obrigações sob um acordo de privacidade de 2011 com a Federal Trade Commission – uma ordem juridicamente vinculativa que exige, entre outras coisas, a criação de “salvaguardas razoáveis” para proteger as informações pessoais dos usuários.

O Twitter enganou conscientemente os reguladores, incluindo a FTC, que perguntam se o Twitter exclui os dados de usuários que cancelam suas contas, de acordo com a divulgação. A empresa disse aos reguladores que “desativa” as contas, mas não pode dizer com sinceridade que exclui os dados porque, em alguns casos, a empresa perdeu o controle, alega Zatko. O Twitter também enganou conscientemente a FTC e os reguladores franceses em suas violações de direitos de propriedade intelectual, afirma a declaração.

O relatório diz que os dados de segurança do usuário – como endereços de e-mail e números de telefone – estavam sendo usados ativamente para fins publicitários, mesmo que o Twitter e a FTC já estivessem negociando um acordo em 2020 para resolver uma instância anterior desse mesmo tipo de uso indevido.

Alegações de que o Twitter manipulou mal os dados do usuário e enganou deliberadamente os reguladores; que não conseguiu desenvolver práticas robustas de segurança cibernética; e que não cumpriu um trabalho importante de segurança da informação em tempo hábil, refletem em violações da Lei da Comissão Federal de Comércio ou de um acordo da FTC de 2011, que exigia que o Twitter protegesse melhor a privacidade do usuário, de acordo com a declaração.

Um dos principais requisitos da ordem de consentimento de 2011 era que o Twitter implementasse um “processo uniforme para desenvolver e testar software”, de acordo com o relatório. Dez anos depois, o Twitter tem apenas um modelo para esse processo, em vez de um processo real, que cobre de 8% a 12% dos projetos da empresa apenas, diz a declaração.

Quando ele chegou ao Twitter, os subordinados de Zatko lhe disseram “inequivocamente que o Twitter nunca esteve em conformidade com a Ordem de Consentimento da FTC de 2011 e não estava a caminho de alcançar a conformidade total”, diz a declaração.

O acordo da FTC deveria forçar o Twitter a se adaptar depois que hackers em 2009 obtiveram acesso aos sistemas internos do Twitter. Em vez disso, “as coisas realmente ficaram significativamente piores”, afirma a declaração. A descoberta de que o Twitter violou sua ordem da FTC pode levar a bilhões em novas multas e novas obrigações draconianas, dizem especialistas jurídicos.

O Twitter disse à CNN que seu registro de conformidade com a FTC fala por si, citando auditorias de terceiros arquivadas na agência sob a ordem de consentimento de 2011, na qual disse que Zatko não participou. O Twitter também disse que está em conformidade com as regras de privacidade relevantes e que tem sido transparente com os reguladores sobre seus esforços para corrigir quaisquer deficiências em seus sistemas.

As alegações de Zatko são baseadas em parte em uma falha em entender como os programas e processos existentes do Twitter funcionam para cumprir as obrigações da FTC, disse a pessoa familiarizada com o mandato de Zatko à CNN, dizendo que esse mal-entendido o levou a fazer alegações imprecisas sobre o nível de conformidade da empresa.

Este conteúdo foi criado originalmente emVer original