В конце августа экс-глава отдела безопасности Twitter Питер Затко рассказал о проблемах с безопасностью данных пользователей соцсети, сокрытии информации о взломах и использовании некорректного метода подсчета ботов. Вчера, 14 сентября, он выступил в американском конгрессе, который ведет расследование в отношении платформы. Выбрали главное из его речи.
⠀
Позже Затко курировал проекты в области кибербезопасности в DARPA — научно-исследовательском агентстве Министерства обороны США, занимающемся разработкой новых технологий для использования в вооруженных силах. Кроме того, он работал в отделе передовых технологий Google и отвечал за безопасность в сервисе электронных платежей Stripe.
⠀
В Twitter он перешел в 2020 году и был уволен в 2022-м. Как утверждает Затко, руководство решило убрать его с должности якобы за «плохую работу», но на самом деле после того, как он пытался сообщить совету директоров о проблемах.
Что Twitter знает о пользователях и у кого есть доступ к таким данным
Затко заявил, что платформа собирает номера телефонов пользователей, их текущие и прошлые IP-адреса и примерную геопозицию на их основе, информацию об устройстве (производитель и модель), а также выбранный в настройках язык. Он допустил, что такие данные могли быть использованы «в реальном мире».
«[В Twitter] вообще никому не важно, у кого есть ключи к тем или иным дверям. Всем инженерам по умолчанию предоставляется доступ к системе тестирования в реальных условиях, этого быть не должно. Такие полномочия должны быть даны более узкой группе специалистов», — добавил Затко и отметил, что инженеры могли быть целями для иностранной разведки.
ФБР предупреждала компанию, что в ней работает шпион из КНР
В опубликованной ранее версии заявлений Затко, которые и дали старт расследования конгресса, указывалось, что «один или более работников компании представляют иностранное разведывательное агентство». Теперь он сообщил, что этот человек — сотрудник китайского Министерства госбезопасности.
У него мог быть доступ к данным пользователей и другой информации. Что именно он мог видеть, установить «очень сложно», сообщил бывший руководитель службы безопасности. Ранее Затко отмечал, что другими «иностранными агентами» были представители Индии.
«Все это напоминает мне разговор с одним из руководителей. Я сказал ему: „Я уверен, что у нас работает иностранный агент“. Он ответил: „Раз один уже есть, что с того, если будет еще кто‑то?“» — заявил Затко.
Как часто пытаются взломать соцсеть — и что с этим делает руководство
Еженедельно фиксируются тысячи попыток взлома систем Twitter. Ранее Затко сообщал о трех тысячах ежедневно — это, по его словам, очень тревожный знак.
Бывший хакер рассказал, что Параг Агравал, ныне гендиректор Twitter, ранее занимавший пост директора технологического департамента, не назначил никого ответственным за изучение и решение этой проблемы.
Twitter не ведет логи — записи с учетом действий и событий — того, что инженеры изменяют в производственной среде, а также того, кто и к чему обращается. Из‑за этого, согласно заявлению Затко, у сотрудников не было возможности исправить ситуацию и модернизировать то, что устарело.
Заявления Затко могут повлиять на ход сделки Илона Маска и Twitter: американский предприниматель пытается выйти из нее уже несколько месяцев, суд намерен заслушать показания экс-руководителя службы безопасности сервиса. Первое заседание назначено на 17 октября.