Denunciante do Twitter testemunha ao Senado sobre grandes falhas de segurança

LinkedIn

O ex-chefe de segurança Peiter Mudge Zatko testemunhou a um painel do Senado na terça-feira (13) que seu ex-empregador priorizava os lucros em vez de abordar questões de segurança que, segundo ele, colocam as informações do usuário em risco de cair nas mãos erradas.

“Não é exagero dizer que um funcionário dentro da empresa poderia assumir as contas de todos os senadores nesta sala”, disse Zatko a membros do Comitê Judiciário do Senado, menos de um mês depois que sua denúncia foi divulgada publicamente.

Zatko testemunhou que o Twitter (NYSE:TWTR) carecia de medidas básicas de segurança e tinha uma abordagem livre para o acesso a dados entre os funcionários, abrindo a plataforma a grandes riscos. Conforme escreveu em sua denúncia, Zatko disse acreditar que um agente do governo indiano conseguiu se tornar funcionário da empresa, um exemplo das consequências de práticas negligentes de segurança.

O Twitter também é negociado na B3 através do ticker (BOV:TWTR34).

O testemunho alimenta as críticas dos legisladores de que as principais plataformas de tecnologia colocam metas de receita e crescimento acima da proteção do usuário. Embora muitas empresas tenham falhas em seus sistemas de segurança, a posição única do Twitter como uma “praça pública” de fato ampliou as revelações de Zatko, que ganharam um significado extra devido à briga legal do Twitter com Elon Musk.

Musk tentou comprar a empresa por US$ 44 bilhões, mas depois tentou desistir do acordo, alegando que o Twitter deveria ter sido mais direto com informações sobre como calcula sua porcentagem de contas de spam. Um juiz do caso disse recentemente que Musk poderia revisar suas reconvenções para fazer referência a questões levantadas por Zatko.

Um porta-voz do Twitter contestou o testemunho de Zatko e disse que a empresa usa controles de acesso, verificações de antecedentes e sistemas de monitoramento e detecção para controlar o acesso aos dados.

“A audiência de hoje apenas confirma que as alegações de Zatko estão repletas de inconsistências e imprecisões”, disse o porta-voz em um comunicado, acrescentando que a contratação da empresa é independente da influência estrangeira.

Falta de controle sobre os dados

De acordo com Zatko, os sistemas do Twitter são tão desorganizados que a plataforma não pode dizer com certeza se excluiu completamente os dados de um usuário. Isso porque o Twitter não rastreou onde todos esses dados estão armazenados.

“Eles não sabem quais dados possuem, onde estão ou de onde vieram e, portanto, sem surpresa, não podem protegê-los”, disse Zatko.

Karim Hijazi, CEO da empresa de inteligência cibernética Prevailion, disse que grandes organizações como o Twitter muitas vezes experimentam “desvio de infraestrutura”, quando as pessoas vêm e vão, e sistemas diferentes às vezes são negligenciados.

“Ela tende a ser um pouco como a garagem de alguém ao longo do tempo”, disse Hijazi, que anteriormente atuou como diretor de inteligência da Mandiant, agora de propriedade do Google. “Agora, o problema é que, ao contrário de uma garagem onde você pode entrar e começar a desmontar tudo metodicamente … você não pode simplesmente limpar o banco de dados porque é uma colcha de retalhos de novas informações e informações antigas.”

Derrubar algumas partes sem saber ao certo se são peças críticas pode arriscar derrubar o sistema mais amplo, disse Hijazi.

Mas especialistas em segurança ficaram surpresos com o testemunho de Zatko de que o Twitter nem sequer tinha um ambiente de teste para testar atualizações, uma etapa intermediária que os engenheiros podem dar entre os ambientes de desenvolvimento e produção para resolver problemas com seu código antes de colocá-lo no ar.

“Isso foi bastante surpreendente para uma grande empresa de tecnologia como o Twitter não ter o básico”, disse Hijazi. Mesmo as menores startups do mundo que começaram há sete semanas e meia têm ambientes de desenvolvimento, preparação e produção.”

Chris Lehman, CEO da SafeGuard Cyber ​​e ex-vice-presidente da FireEye, disse que “isso seria chocante para mim” se for verdade que o Twitter não tem um ambiente de teste.

Ele disse que “as organizações mais maduras” teriam esse passo para evitar que os sistemas quebrassem.

“Sem um ambiente de teste, você cria mais oportunidades para bugs e problemas”, disse Lehman.

Amplo acesso dos funcionários às informações do usuário

Zatko disse que a falta de compreensão de onde os dados vivem significa que os funcionários também têm muito mais acesso do que deveriam aos sistemas do Twitter.

“Não importa quem tem as chaves se você não tem fechaduras nas portas”, disse Zatko.

Os engenheiros, que compõem uma grande parte da empresa, têm acesso ao ambiente de testes ao vivo do Twitter por padrão, afirmou Zatko. Ele disse que esse tipo de acesso deve ser restrito a um grupo menor.

Com tantos funcionários tendo acesso a informações importantes, a empresa fica vulnerável a atividades problemáticas como subornos e hacks, disseram Hijazi e Lehman.

Reguladores dos EUA não assustam as empresas em conformidade

Multas únicas que geralmente resultam de acordos com reguladores dos EUA, como a Federal Trade Commission, não são suficientes para incentivar práticas de segurança mais fortes, testemunhou Zatko.

Zatko disse ao senador Richard Blumenthal, D-Conn., que um acordo de US$ 150 milhões como o que o Twitter alcançou com a FTC em maio sobre alegações de que deturpou como usou informações de contato para direcionar anúncios seria insuficiente para dissuadir a empresa de práticas de segurança ruins.

A empresa, disse ele, estaria muito mais preocupada com os reguladores europeus que poderiam impor remédios mais duradouros.

“Enquanto eu estava lá, a preocupação era apenas com uma quantidade significativamente maior”, disse Zatko. “Ou se teria sido um risco de reestruturação mais institucional. Mas essa quantia teria sido de pouca preocupação enquanto eu estava lá.”

Apesar das falhas, os usuários não devem necessariamente se sentir compelidos a excluir suas contas, disseram Zatko e outros especialistas em segurança.

“As pessoas sempre podem optar por simplesmente se desconectar”, disse Lehman. “Mas a realidade é que as plataformas de mídia social são plataformas de diálogo. E eles são a nova praça da cidade. Isso serve a um bem público. Acho que seria ruim se as pessoas simplesmente parassem de usá-lo.”

Hijazi disse que não adianta se esconder.

“Isso é impossível nos dias de hoje”, disse ele. “No entanto, acho que ser ingênuo na crença de que essas organizações realmente têm isso sob controle e realmente têm suas informações protegidas é uma falha.”

Imagem: Kevin Dietsch | Imagens Getty
Com informações de CNBC

Deixe um comentário