Peiter “Mudge” Zatko, exjefe de seguridad de Twitter, dice que la compañía ha engañado a los reguladores sobre sus medidas de seguridad en su denuncia de irregularidades que obtuvo The Washington Post. En su queja presentada ante la Comisión de Bolsa y Valores, el Departamento de Justicia y la Comisión Federal de Comercio, acusa a la compañía de violar los términos que había acordado cuando resolvió una disputa de privacidad con la FTC en 2011. Twitter, dice tiene “deficiencias extremas y atroces” cuando se trata de defender el sitio web contra los atacantes.

Como parte de ese acuerdo con la FTC, Twitter acordó implementar y monitorear medidas de seguridad para proteger a sus usuarios. Sin embargo, Zatko dice que la mitad de los servidores de Twitter ejecutan software vulnerable y desactualizado, y que miles de empleados todavía tienen un amplio acceso interno al software central de la empresa, lo que anteriormente había provocado grandes infracciones. Si recuerda, los malos actores pudieron apoderarse de las cuentas de algunos de los usuarios de más alto perfil en el sitio web en 2020, incluidos los de Barack Obama y Elon Musk, al atacar a los empleados por sus sistemas internos y herramientas mediante un ataque de ingeniería social. .

Fue después de ese incidente que la empresa contrató a Zatko, quien solía dirigir un programa de detección de ciberespionaje para DARPA, como jefe de seguridad. Argumenta que la seguridad debería ser una preocupación mayor para la empresa, ya que tiene acceso a las direcciones de correo electrónico y números de teléfono de numerosas figuras públicas, incluidos disidentes y activistas cuyas vidas pueden estar en peligro si son engañados.

El exjefe de seguridad escribió:

“Twitter es extremadamente negligente en varias áreas de la seguridad de la información. Si estos problemas no se corrigen, los reguladores, los medios y los usuarios de la plataforma se sorprenderán cuando inevitablemente se enteren de la grave falta de seguridad básica de Twitter.

Además, Zatko acusó a Twitter de priorizar el crecimiento de los usuarios sobre la reducción del spam mediante la distribución de bonificaciones vinculadas al aumento del número de usuarios diarios. La compañía no otorga ningún bono directamente relacionado con la reducción del spam en el sitio web, según la denuncia. Zatko también afirma que no pudo obtener una respuesta directa de Twitter con respecto a la cantidad real de bots en la plataforma. Twitter solo ha estado contando los bots que pueden ver y hacer clic en anuncios desde 2019, y en sus informes de la SEC desde entonces, sus estimaciones de bots siempre han sido inferiores al 5 por ciento.

Zatko quería saber la cantidad real de bots en la plataforma, no solo los que se pueden monetizar. Cita a una fuente que supuestamente dijo que Twitter desconfiaba de determinar el número real de bots en el sitio web, porque “dañaría la imagen y la valoración de la empresa“. De hecho, su revelación podría influir en la batalla legal de Twitter contra Elon Musk después de que el ejecutivo comenzara a tomar medidas para retirarse de su adquisición de $44 mil millones. Musk acusó a Twitter de fraude por ocultar la cantidad real de cuentas falsas en el sitio web y reveló que sus analistas encontraron una cantidad de bots mucho más alta de lo que afirmó Twitter. Sin embargo, como señala The Post, Zatko proporcionó pruebas documentales sólidas limitadas sobre el spam y los bots, por lo que no está claro si ayudaría al caso de Musk.

Cuando se le preguntó por qué presentó una denuncia de denunciante (está siendo representado por la firma de abogados sin fines de lucro Whistleblower Aid), Zatko respondió que “se sentía éticamente obligado” a hacerlo como alguien que trabaja en seguridad cibernética. La portavoz de Twitter, Rebecca Hahn, sin embargo, negó que la empresa no haga de la seguridad una prioridad. “La seguridad y la privacidad han sido durante mucho tiempo las principales prioridades de la empresa en Twitter“, dijo, y agregó que las acusaciones de Zatko están “plagadas de inexactitudes“. También dijo que Twitter despidió a Zatko después de 15 meses “por desempeño y liderazgo deficientes” y que ahora “parece estar buscando de manera oportunista causar daño a Twitter, sus clientes y sus accionistas“.

Poco después de que el Post publicara su informe inicial, los líderes de los comités del Senado y del Congreso anunciaron que ya estaban investigando las afirmaciones de Zatko. Las oficinas del presidente del Comité Judicial del Senado, Dick Durbin, y el miembro de mayor rango del comité, Chuck Grassley, dijeron que ya habían tenido conversaciones con Zatko. “Las denuncias del denunciante sobre fallas de seguridad generalizadas en Twitter, tergiversaciones deliberadas de altos ejecutivos ante agencias gubernamentales y la penetración de la compañía por parte de inteligencia extranjera plantean serias preocupaciones“, escribió Durbin en Twitter.

The whistleblower’s allegations of widespread security failures at Twitter, willful misrepresentations by top executives to government agencies, and penetration of the company by foreign intelligence raise serious concerns. https://t.co/9QQtlDSogr

— Senator Dick Durbin (@SenatorDurbin) August 23, 2022