Có khả năng các cơ quan quản lý và chính phủ sẽ xem xét và áp dụng các biện pháp trừng phạt đối với Twitter là kết quả của một số tiết lộ tai hại về các phương pháp và quy định an ninh mạng của công ty.
Những tiết lộ gây sốc này đã được tiết lộ trong một hồ sơ dài hơn 80 trang gửi tới Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC). CNN Và Các bài viết washington đã có thể có được.
Các khiếu nại liên quan đến là gì Twitter vấn đề an ninh mạng?
Peiter “Mudge” Zatko, người tố cáo, trước đây từng giữ chức vụ Twitterngười đứng đầu bộ phận an ninh và báo cáo với Giám đốc điều hành Parag Agrawal. Zatko là một hacker có đạo đức nổi tiếng và là người đi đầu trong lĩnh vực an ninh mạng. Là thành viên của các tổ chức như L0pht và Cult of the Dead Cow, anh ấy đã giúp định hình phần lớn sự phát triển ban đầu của ngành.
Anh ấy tham gia Twitter dưới thời chính quyền của người tiền nhiệm Agrawal, người sáng tạo nền tảng Jack Dorsey, để hỗ trợ giải quyết các vấn đề bảo mật của nền tảng sau cuộc tấn công mạng năm 2020, trong đó các tài khoản nổi bật, bao gồm cả tài khoản của Jeff Bezos, Bill Gates và Elon Musk, đã bị xâm phạm bởi những kẻ lừa đảo tiền điện tử . Tuy nhiên, công việc của anh ấy đã bị chấm dứt vào đầu năm 2022.
Sau khi cố gắng thuyết phục một cách vô ích Twitter để giải quyết các vấn đề của mình, Zatko tuyên bố rằng anh ấy hiện đang lên tiếng. Anh ta nói rằng Agrawal và những người khác đã ngăn cản anh ta cung cấp thông tin chính xác cho ban giám đốc của tổ chức và không khuyến khích anh ta làm như vậy.
Zatko mô tả một tổ chức đang gặp khó khăn với các hoạt động bảo mật kém và quản lý yếu kém, một tổ chức đã cho phép quá nhiều người trong cuộc truy cập không hạn chế vào các tính năng nền tảng và dữ liệu quan trọng, trong bản tiết lộ, thông tin này cũng đã được chuyển đến Quốc hội Hoa Kỳ và các cơ quan khác của chính phủ liên bang Hoa Kỳ vào tháng 7 .
Các chuyên gia an ninh mạng ở Anh đồng quan điểm về cải cách Đạo luật lạm dụng máy tính
Twitter bị Zatko buộc tội cố gắng che giấu một số điểm yếu đáng kể, đánh lừa hội đồng quản trị và cơ quan quản lý, từ đó mở ra cơ hội cho hoạt động thù địch từ tội phạm mạng và các cơ quan gián điệp quốc gia. Trên thực tế, ông khẳng định, hiện tại có thể có gián điệp của đối phương đang làm việc cho nó.
Ông tiếp tục khẳng định rằng trang web đã đánh lừa khách hàng rằng dữ liệu của họ đã bị xóa sau khi hủy tài khoản trong khi điều này không nhất thiết phải như vậy.
Về mặt kỹ thuật, Zatko khẳng định thêm rằng Twitter tiếp tục hoạt động trên kiến trúc máy chủ cũ, lỗi thời, không được vá lỗi, thiếu bảo mật thích hợp và có sẵn cơ chế kém chất lượng để khôi phục trung tâm dữ liệu khỏi sự cố ngừng hoạt động ngoài dự kiến.
Ngoài ra, ông cho rằng tổ chức này thiếu động lực để kiểm soát một số lượng lớn bot sử dụng trang web. Quyết định từ bỏ nỗ lực thâu tóm của Elon Musk Twitterhiện đang là đối tượng của hành động pháp lý, đã bị ảnh hưởng bởi vấn đề này.
Doanh nghiệp cần cải thiện khả năng truy cập dịch vụ an toàn (SSA) bằng cách áp dụng các giải pháp mới nhất
Twitter đáp lại cáo buộc của Zatko bằng cách tuyên bố rằng Zatko đã bị chấm dứt hợp đồng vào tháng 1 năm 2022 do “lãnh đạo kém hiệu quả và hoạt động kém”.
“Những gì chúng tôi thấy cho đến nay là một tường thuật sai lầm về Twitter cũng như các biện pháp thực hành bảo mật dữ liệu và quyền riêng tư của chúng tôi vốn có nhiều mâu thuẫn, thiếu chính xác và thiếu bối cảnh quan trọng,” một đại diện cho biết. Twitter người phát ngôn.
“Những cáo buộc và việc tính thời điểm cơ hội của ông Zatko dường như được thiết kế để thu hút sự chú ý và gây tổn hại cho Twitter, khách hàng và các cổ đông của nó. Bảo mật và quyền riêng tư từ lâu đã là ưu tiên hàng đầu của toàn công ty tại Twitter và sẽ tiếp tục như vậy.”
Agrawal tái khẳng định điều này trong một thông điệp gửi tới nhân viên được phân phối qua Twitternói thêm: “Chúng tôi sẽ theo đuổi mọi con đường để bảo vệ tính chính trực của mình với tư cách là một công ty và lập kỷ lục.”
Các thượng nghị sĩ Hoa Kỳ từ Illinois và Iowa, Dick Durbin và Chuck Grassley, là thành viên của Ủy ban Tư pháp Thượng viện và được sao chép trong báo cáo, cho biết cáo buộc của Zatko cần nghiên cứu thêm để xác định sự thật.
Theo Grassley, các tập dữ liệu khổng lồ, các biện pháp an ninh kém và việc tiếp xúc với các chủ thể quốc gia-nhà nước đối địch là một “công thức dẫn đến thảm họa”. Ông cho rằng những khẳng định của Zatko khiến Mỹ đặt câu hỏi nghiêm túc về an ninh quốc gia của mình.
Richard Blumenthal của Connecticut, thượng nghị sĩ thứ ba, tuyên bố ông đã viết thư cho Ủy ban Thương mại Liên bang (FTC) cầu xin cơ quan này xem xét vấn đề. Năm 2011, sau khi FTC đã giải quyết với công ty, Twitter bị cấm “đánh lừa người tiêu dùng về mức độ bảo vệ an ninh, quyền riêng tư và bảo mật thông tin không công khai của người tiêu dùng”. FTC trước đây đã xem xét các khiếu nại rằng Twitter đã đánh lừa khách hàng về tính bảo mật của dịch vụ. Theo cáo buộc của Zatko, Twitter dường như đã vi phạm thỏa thuận này.
Zatko cũng được bảo vệ bởi các thành viên của cộng đồng an ninh, những người đã chống trả Twitternhững lời phủ nhận của Aaron Turner, CTO cho các giải pháp phần mềm dưới dạng dịch vụ (SaaS) tại chuyên gia phát hiện mối đe dọa Vectra, là một trong số đó.
“Tôi biết Mudge từ những ngày anh ấy còn ở Giáo phái Bò Chết. Khi tôi còn ở Microsoft, anh ấy và nhóm Stake đã giúp chúng tôi cải thiện cơ bản chiến lược và chiến thuật bảo mật của mình. Khi tôi làm việc cho các dự án của chính phủ trong 20 năm qua, tôi có thể nói rằng công việc của anh ấy ở Darpa đã tạo ra sự khác biệt đáng kể trong cách chính phủ Hoa Kỳ tiếp cận an ninh mạng,” Turner nói.
“Anh ấy luôn có mức độ chính trực cao nhất và cũng tuân thủ các tiêu chuẩn kỹ thuật cao nhất về phát triển và vận hành hệ thống. Nếu Mudge nói thế Twitter có vấn đề về an ninh mạng, Twitter có một số vấn đề lớn,” ông nói thêm.
Những lo ngại về quyền riêng tư dữ liệu của TikTok thúc đẩy các công ty xem xét lại chiến lược truyền thông xã hội của họ
Turner, người giám sát Twittercuộc điều tra của ông về trò lừa bịp tiền điện tử năm 2020, tuyên bố rằng cá nhân ông đã đi đến kết luận rằng Twitter thiếu các biện pháp bảo vệ và quy trình quản lý người dùng đặc quyền cần thiết để quản lý việc phân chia nhiệm vụ giữa quản trị viên hệ thống và nhà phát triển.
“Nếu tiết lộ của Mudge là đúng thì Twitter có vấn đề nghiêm trọng về vệ sinh hệ thống kết hợp với các chính sách và kiểm soát quản lý người dùng, thì TwitterToàn bộ nền tảng của nó có nguy cơ bị xâm phạm,” ông nói thêm.
Phó chủ tịch nghiên cứu và phát triển tại Arctic Wolf, Daniel Thanos, cũng bảo vệ Zatko, nói rằng Mudge là nhà tiên phong nổi tiếng và được kính trọng trong lĩnh vực an ninh mạng và không nên bác bỏ nhận xét của ông.
Thanos tuyên bố rằng những cáo buộc chống lại Twitter chỉ ra một mô hình phổ biến đối với các doanh nghiệp truyền thông xã hội khác đang gặp phải vấn đề về bảo mật và quyền riêng tư. Ông than thở về thực tế là các tập đoàn truyền thông xã hội thường xuyên không đối mặt với những vấn đề này một cách công khai và giấu chúng đi.
“Tất cả những sự kiện này đã chứng minh rằng việc tự kiểm soát sẽ không còn hiệu quả nữa. Các thực thể truyền thông xã hội này hiện đang hoạt động như những nhà xuất bản, điều này đòi hỏi mức độ tin cậy cao của công chúng. Cùng với đó là một số trách nhiệm về an ninh và minh bạch rõ ràng không được đáp ứng,” ông nói.
“Twitter có những mối đe dọa nội bộ giống như nhiều công ty khác. Vì nó đã trở thành một nguồn thông tin quan trọng nên nó phải đảm bảo duy trì các biện pháp kiểm soát an ninh nội bộ của mình. mức độ bảo mật và quyền riêng tư cao nhất. Đây là điều hoàn toàn cơ bản do người dùng tin tưởng vào nó,” ông nói thêm.
“Các tổ chức này thường phải đối mặt với việc cân bằng giữa bộ máy bảo mật mở rộng và sản phẩm tạo doanh thu có thể mở rộng. Ed Hunter, CISO tại công ty bảo mật đám mây giải thích: Nhiều thiếu sót có thể dễ dàng giải quyết thông qua các công nghệ bảo mật tích hợp khác nhau phát triển cùng với môi trường sản xuất tạo ra doanh thu, bao gồm khả năng hiển thị tất cả tài sản trên mạng và nơi chúng giao tiếp. Thông tin.
Tuy nhiên, những vấn đề này không chỉ giới hạn trong thế giới truyền thông xã hội. Bất kỳ ai thường xuyên theo dõi chu kỳ tin tức về an ninh mạng đều nhận thức rõ rằng vệ sinh an ninh kém và đôi khi thậm chí cố tình coi thường các phương pháp hay nhất đều quá phổ biến.
Chẳng hạn, theo Julia O’Toole, Giám đốc điều hành của chuyên gia quản lý truy cập MyCena, một số cáo buộc của Zatko sẽ khiến mọi người nhận ra rằng họ không liên lạc được với việc bảo vệ dữ liệu như thế nào. “Các tổ chức phải bắt đầu nhận ra rằng họ chịu trách nhiệm về dữ liệu của mình và có nghĩa vụ giữ an toàn cho dữ liệu đó. Tuy nhiên, bằng cách cho phép nhân viên tạo mật khẩu và mật mã riêng để truy cập dữ liệu quan trọng, họ đang mất quyền kiểm soát đó”, cô nói.
“Chưa có tổ chức nào cho phép nhân viên tạo chìa khóa riêng để truy cập vào văn phòng thực tế, tuy nhiên họ lại cho phép nhân viên tạo chìa khóa kỹ thuật số để truy cập dữ liệu của họ, đây chắc chắn là tài sản quý giá nhất của họ ngày nay. Chúng tôi cần giải quyết lỗ hổng này để thực sự cải thiện tính bảo mật”, cô nói thêm.
Theo Thanos, vụ việc cũng cho thấy tầm quan trọng của các nhà lãnh đạo an ninh ở bất kỳ tổ chức nào trong việc duy trì đường dây liên lạc trực tiếp với hội đồng quản trị mà các bên liên quan nội bộ không thể vượt qua. Ông khẳng định rằng mọi người nên lo ngại trước những tuyên bố của Zatko về sự can thiệp của cấp trên Twitter số liệu.
“Mudge đã được Giám đốc điều hành tiền nhiệm thuê để thực hiện công việc về vấn đề này và về vấn đề mối đe dọa nội bộ, nhưng các mô hình can thiệp mà nhiều CISO chuyển đổi phải đối mặt dường như đều đã được thể hiện ở đây. Bất kỳ ai quan tâm đến sứ mệnh mà chúng tôi đang thực hiện với tư cách là một cộng đồng bảo mật sẽ muốn thấy Mudge chiếm ưu thế vì lợi ích của toàn bộ ngành,” Thanos giải thích.
