Ex-executivo do Twitter aponta negligência em políticas de segurança cibernética
Demitido em janeiro pelo que empresa alega ser um desempenho ruim, Peiter "Mudge" Zatko era chefe de segurança, reportando-se diretamente ao CEO
O Twitter tem grandes problemas de segurança que representam uma ameaça às informações pessoais de seus próprios usuários, aos acionistas da empresa, à segurança nacional e à democracia, de acordo com uma divulgação de denunciantes obtida exclusivamente pela CNN e pelo Washington Post.
A divulgação, enviada no mês passado ao Congresso e agências federais, mostra um ambiente caótico e imprudente em uma empresa mal administrada que permite que muitos de seus funcionários acessem os controles centrais da plataforma e as informações mais confidenciais sem supervisão adequada.
Ele também alega que alguns dos executivos mais seniores da empresa estão tentando encobrir as sérias vulnerabilidades do Twitter e que um ou mais funcionários atuais podem estar trabalhando para um serviço de inteligência estrangeiro.
O denunciante, que concordou em ser identificado publicamente, é Peiter “Mudge” Zatko, que anteriormente era o chefe de segurança da empresa, reportando-se diretamente ao CEO.
Zatko alega ainda que a liderança do Twitter enganou seu próprio conselho e reguladores do governo sobre suas vulnerabilidades de segurança, incluindo algumas que poderiam abrir a porta para espionagem estrangeira ou manipulação, hacking e campanhas de desinformação.
O denunciante também alega que o Twitter não exclui de forma confiável os dados dos usuários depois que eles cancelam suas contas, em alguns casos porque a empresa perdeu o controle das informações e enganou os reguladores sobre se exclui os dados como é necessário.
O denunciante também diz que os executivos do Twitter não têm recursos para entender completamente o verdadeiro número de bots na plataforma e não estavam motivados para isso. Os bots recentemente se tornaram centrais para as tentativas de Elon Musk de desistir de um acordo de US$ 44 bilhões para comprar a empresa (embora o Twitter negue as alegações de Musk).
Zatko foi demitido pelo Twitter (TWTR) em janeiro pelo que a empresa alega ser um desempenho ruim. De acordo com Zatko, sua denúncia pública ocorre depois que ele tentou sinalizar os lapsos de segurança para o conselho do Twitter e ajudar o Twitter a corrigir anos de deficiências técnicas e suposta não conformidade com um acordo de privacidade anterior com a Federal Trade Commission.
Zatko está sendo representado pela Whistleblower Aid, o mesmo grupo que representou a denunciante do Facebook Frances Haugen.
John Tye, fundador da Whistleblower Aid e advogado de Zatko, disse à CNN que Zatko não esteve em contato com Musk e disse que Zatko iniciou o processo de denúncia antes que houvesse qualquer indicação do envolvimento de Musk com o Twitter.
O que o Twitter diz
A CNN pediu comentários do Twitter sobre mais de 50 perguntas específicas sobre a divulgação.
Em um comunicado, um porta-voz do Twitter disse à CNN que segurança e privacidade são prioridades de longa data para a empresa.
O Twitter também disse que a empresa fornece ferramentas claras para os usuários controlarem privacidade, direcionamento de anúncios e compartilhamento de dados, e acrescentou que criou fluxos de trabalho internos para garantir que os usuários saibam que, quando cancelarem suas contas, o Twitter desativará as contas e iniciará um processo de exclusão. O Twitter se recusou a dizer se normalmente conclui o processo.
“O Sr. Zatko foi demitido de seu cargo de executivo sênior no Twitter por mau desempenho e liderança ineficaz há mais de seis meses”, disse o porta-voz do Twitter.
“Embora não tenhamos acesso às alegações específicas mencionadas, o que vimos até agora é uma narrativa sobre nossas práticas de privacidade e segurança de dados repleta de inconsistências e imprecisões e carece de contexto importante. O momento oportuno parece projetado para chamar a atenção e infligir danos ao Twitter, seus clientes e seus acionistas. Segurança e privacidade têm sido prioridades de toda a empresa no Twitter e ainda temos muito trabalho pela frente.”
Relacionamento tenso
Algumas das alegações mais contundentes de Zatko surgem de seu relacionamento aparentemente tenso com Parag Agrawal, ex-diretor de tecnologia da empresa que se tornou CEO depois que Jack Dorsey deixou o cargo em novembro passado.
De acordo com a divulgação, Agrawal e seus tenentes repetidamente desencorajaram Zatko de fornecer uma contabilidade completa dos problemas de segurança do Twitter ao conselho de administração da empresa.
A equipe executiva da empresa supostamente instruiu Zatko a fornecer um relatório oral de suas descobertas iniciais sobre a condição de segurança da empresa ao conselho, em vez de um relato detalhado por escrito.
Ordenou ainda que Zatko apresentasse conscientemente dados escolhidos a dedo e deturpados para criar a falsa percepção de progresso em questões urgentes de segurança cibernética e foi atrás das costas de Zatko para que o relatório de uma empresa de consultoria terceirizada fosse limpo para esconder a verdadeira extensão dos problemas da empresa.
A divulgação é geralmente muito mais gentil com Dorsey, que contratou Zatko e que Zatko acredita que queria ver os problemas dentro da empresa resolvidos. Mas o retrata como extremamente desengajado em seus últimos meses liderando o Twitter – tanto que alguns funcionários seniores até consideraram a possibilidade de ele estar doente.
A CNN entrou em contato com Dorsey para comentar. Uma pessoa familiarizada com o mandato de Zatko no Twitter disse à CNN que a empresa investigou várias alegações que ele apresentou na época em que foi demitido e, finalmente, as considerou pouco convincentes; a pessoa acrescentou que Zatko às vezes não entendia as obrigações da FTC do Twitter.
Autoridades avaliam denúncias
Zatko acredita que sua demissão foi uma retaliação por ele ter soado o alarme sobre os problemas de segurança da empresa.
A divulgação contundente, que totaliza cerca de 200 páginas, incluindo exposições de apoio – foi enviada no mês passado para várias agências do governo dos EUA e comitês do Congresso, incluindo a Securities and Exchange Commission, a Federal Trade Commission e o Departamento de Justiça. A existência e os detalhes da divulgação não foram relatados anteriormente.
A CNN obteve uma cópia da divulgação de um assessor democrata sênior no Capitólio. A SEC, DOJ e FTC se recusaram a comentar; o Comitê de Inteligência do Senado, que recebeu uma cópia do relatório, está levando a divulgação a sério e está marcando uma reunião para discutir as alegações, de acordo com Rachel Cohen, porta-voz do comitê.
O senador Dick Durbin, que preside o Comitê Judiciário do Senado e também recebeu o relatório, prometeu investigar “e tomar as medidas necessárias para chegar ao fundo dessas alegações alarmantes”.
O senador Chuck Grassley, principal republicano do mesmo painel e um ávido usuário do Twitter, também expressou profunda preocupação com as alegações em um comunicado à CNN.
“Pegue uma plataforma de tecnologia que coleta enormes quantidades de dados de usuários, combine-a com o que parece ser uma infraestrutura de segurança incrivelmente fraca e infunda-a com atores estatais estrangeiros com uma agenda, e você terá uma receita para o desastre”, disse Grassley. “As alegações que recebi de um denunciante do Twitter levantam sérias preocupações de segurança nacional, bem como questões de privacidade, e devem ser investigadas mais profundamente”.
O denunciante
Zatko chamou a atenção nacional pela primeira vez em 1998, quando participou das primeiras audiências no Congresso sobre segurança cibernética.
“Durante toda a minha vida, procurei encontrar lugares onde posso ir e fazer a diferença. Fiz isso através do campo da segurança. Essa é minha principal alavanca”, disse ele à CNN em entrevista no início deste mês.
Os eventos que levaram à sua decisão de se tornar um denunciante começaram antes de ele trabalhar no Twitter, com um hack devastador em 2020 no qual as contas do Twitter de algumas das pessoas mais famosas do mundo, incluindo o então candidato presidencial Joe Biden, o ex-presidente Barack Obama, Kim Kardashian e Musk, estavam comprometidos.
O Twitter disse à CNN que, em resposta ao incidente, a empresa começou a compartimentar o acesso às ferramentas de suporte ao cliente.
Após o ataque, Dorsey recrutou Zatko, um conhecido “hacker ético” que se tornou especialista em segurança cibernética e executivo que anteriormente ocupou cargos seniores no Google, Stripe e no Departamento de Defesa dos EUA, e que disse à CNN que lhe foi oferecido um sênior, posição cibernética do primeiro dia no governo Biden.
O que Zatko diz ter encontrado foi uma empresa com práticas de segurança extraordinariamente ruins, incluindo dar a milhares de funcionários da empresa – aproximadamente metade da força de trabalho da empresa – acesso a alguns dos controles críticos da plataforma.
Sua divulgação descreve suas descobertas gerais como “deficiências flagrantes, negligência, ignorância intencional e ameaças à segurança nacional e à democracia”.
Após a insurreição de 6 de janeiro, Zatko estava preocupado com a possibilidade de alguém no Twitter que simpatizasse com os insurretos tentar manipular a plataforma da empresa, de acordo com sua divulgação. Ele procurou reprimir o acesso interno que permite que os engenheiros do Twitter façam alterações na plataforma, conhecida como “ambiente de produção”.
Mas, diz a divulgação, Zatko logo descobriu que “era impossível proteger o ambiente de produção. Todos os engenheiros tinham acesso. Não havia registro de quem entrava no ambiente ou o que eles faziam… Ninguém sabia onde os dados viviam ou se era crítico, e todos os engenheiros tinham alguma forma de acesso crítico ao ambiente de produção.”
O Twitter também não tinha a capacidade de responsabilizar os trabalhadores por lapsos de segurança da informação porque tem pouco controle ou visibilidade dos computadores de trabalho individuais dos funcionários, afirma Zatko, citando relatórios internos de segurança cibernética estimando que 4 em cada 10 dispositivos não atendem aos padrões básicos de segurança.
A frágil infraestrutura de servidor do Twitter é uma vulnerabilidade separada, mas igualmente séria, afirma a divulgação. Cerca de metade dos 500.000 servidores da empresa rodam em software desatualizado que não suporta recursos básicos de segurança, como criptografia para dados armazenados ou atualizações regulares de segurança por fornecedores, de acordo com a carta aos reguladores e um e-mail de fevereiro que Zatko escreveu para Patrick Pichette, membro do conselho do Twitter que está incluído na divulgação.
A empresa também não possui redundâncias e procedimentos suficientes para reiniciar ou se recuperar de falhas no data center, diz a divulgação de Zatko, o que significa que mesmo pequenas interrupções de vários data centers ao mesmo tempo podem deixar todo o serviço do Twitter offline, talvez para sempre.
O Twitter não respondeu a perguntas sobre o risco de interrupções no data center, mas disse à CNN que as pessoas nas equipes de engenharia e produtos do Twitter estão autorizadas a acessar o ambiente de produção se tiverem uma justificativa comercial específica para fazê-lo.
Os funcionários do Twitter usam dispositivos supervisionados por outras equipes de TI e segurança com o poder de impedir que um dispositivo se conecte a sistemas internos confidenciais se estiver executando um software desatualizado, acrescentou o Twitter.
A empresa também disse que usa verificações automatizadas para garantir que laptops com software desatualizado não possam acessar o ambiente de produção e que os funcionários só podem fazer alterações no produto ativo do Twitter depois que o código atender a certos requisitos de manutenção de registros e revisão.
O Twitter tem ferramentas internas de segurança que são testadas regularmente pela empresa e a cada dois anos por auditores externos, de acordo com a pessoa familiarizada com a gestão de Zatko na empresa. A pessoa acrescentou que algumas das estatísticas de Zatko sobre a segurança do dispositivo carecem de credibilidade e foram obtidas por uma pequena equipe que não considerou adequadamente os procedimentos de segurança existentes do Twitter.
Mas as preocupações de segurança do Twitter vieram à tona antes de 2020. Em 2010, a FTC apresentou uma queixa contra o Twitter por manipular incorretamente as informações privadas dos usuários e o problema de muitos funcionários terem acesso aos controles centrais do Twitter.
A reclamação resultou em uma ordem de consentimento da FTC finalizada no ano seguinte, na qual o Twitter prometeu limpar seu ato, inclusive criando e mantendo “um programa abrangente de segurança da informação”.
Zatko alega que, apesar das alegações da empresa em contrário, “nunca esteve em conformidade” com o que a FTC exigia há mais de 10 anos.
Como resultado de suas supostas falhas em resolver vulnerabilidades levantadas pela FTC, bem como outras deficiências, diz ele, o Twitter sofre uma “taxa anormalmente alta de incidentes de segurança”, aproximadamente um por semana grave o suficiente para exigir divulgação a agências governamentais.
“Com base na minha experiência profissional, empresas parceiras não têm essa magnitude ou volume de incidentes”, escreveu Zatko em uma carta em fevereiro ao conselho do Twitter depois de ser demitido pelo Twitter em janeiro.
Os riscos da divulgação de Zatko são enormes. Isso pode levar a bilhões de dólares em novas multas para o Twitter se for descoberto que ele violou suas obrigações legais, de acordo com Jon Leibowitz, que era presidente da FTC na época da ordem de consentimento original do Twitter em 2011.
A agência agora tem outra oportunidade de mostrar à indústria de tecnologia que leva a sério a responsabilização das plataformas, acrescentou Leibowitz, depois que as autoridades optaram por não nomear os principais executivos do Facebook, incluindo Mark Zuckerberg e Sheryl Sandberg, no acordo de privacidade de US $ 5 bilhões da FTC com essa empresa em 2019.
“Uma das grandes decepções no caso de violação de ordem do Facebook foi que a FTC deixou os executivos fora do gancho; eles deveriam ter sido nomeados”, disse Leibowitz em entrevista à CNN. “E se houver uma violação aqui – e isso é um grande se – então acho que a FTC deveria considerar seriamente não apenas multar a corporação, mas também colocar os executivos responsáveis sob ordem.”
O Twitter disse à CNN que seu registro de conformidade com a FTC fala por si, citando auditorias de terceiros arquivadas na agência sob a ordem de consentimento de 2011 na qual disse que Zatko não participou.
O Twitter também disse que está em conformidade com as regras de privacidade relevantes e que tem sido transparente com os reguladores sobre seus esforços para corrigir quaisquer deficiências em seus sistemas.
As alegações de Zatko se baseiam em parte na falha em entender como os programas e processos existentes do Twitter funcionam para cumprir as obrigações da FTC do Twitter, disse a pessoa familiarizada com seu mandato à CNN, dizendo que o mal-entendido o levou a fazer alegações imprecisas sobre o nível de conformidade da empresa.
Ameaças estrangeiras
O Twitter é excepcionalmente vulnerável à exploração de governos estrangeiros de maneiras que prejudicam a segurança nacional dos EUA, e a empresa pode até ter espiões estrangeiros atualmente em sua folha de pagamento, alega a divulgação.
O relatório do denunciante diz que o governo dos EUA forneceu evidências específicas ao Twitter pouco antes da demissão de Zatko de que pelo menos um de seus funcionários, talvez mais, estava trabalhando para o serviço de inteligência de outro governo.
O relatório não diz se o Twitter já estava ciente ou se posteriormente agiu na denúncia.
“O fato de o atual CEO do Twitter ter sugerido que o Twitter se tornasse cúmplice do regime de Putin é motivo de preocupação sobre os efeitos do Twitter na segurança nacional dos EUA”, diz a divulgação de Zatko.
O relatório de Zatko está se tornando público apenas duas semanas depois que um ex-gerente do Twitter foi condenado por espionagem para a Arábia Saudita.
O caso saudita ressalta a gravidade das alegações que Zatko agora faz no Twitter. Seu relatório pode inflamar ainda mais as preocupações bipartidárias em Washington sobre adversários estrangeiros e as ameaças à segurança cibernética que eles representam para os americanos, desde o roubo de dados de cidadãos americanos até a manipulação de eleitores americanos ou o roubo de tecnologia e segredos comerciais.
O Twitter não respondeu a perguntas específicas sobre suas supostas vulnerabilidades de inteligência estrangeira.
Momento fortuito para Musk
A divulgação de Zatko ocorre em um momento particularmente fortuito para Musk, que está envolvido em uma batalha legal com o Twitter por sua tentativa de desistir de comprar a empresa.
Musk acusou o Twitter de mentir sobre o número de bots de spam em sua plataforma, um problema que ele afirma que deve permitir que ele rescinda o acordo.
Embora o acordo de aquisição vinculativo que Musk assinou com o Twitter em abril não incluísse isenções relacionadas a bots, o bilionário afirma que o número de bots na plataforma afeta a experiência do usuário e que ter mais bots do que o conhecido anteriormente poderia, portanto, impactar o valor de longo prazo da empresa.
Depois que Musk decidiu rescindir a compra, o Twitter respondeu com uma ação alegando que ele está usando bots como pretexto para sair de um acordo sobre o qual ele agora tem remorso dos compradores após a recente desaceleração do mercado e pedindo a um tribunal para forçá-lo a fechar o negócio.
O caso deve ir a julgamento no Delaware Chancery Court em outubro.
