Eski güvenlik şefinden Twitter'a ağır suçlama

Twitter'ın eski güvenlik şefi, sosyal medya platformunun kullanıcıların ve şirket hissedarlarının kişisel bilgilerine, ulusal güvenliğe ve demokrasiye tehdit oluşturabilecek büyük güvenlik açıklarının bulunduğu ileri sürdü.
Şirketin eski güvenlik şefi Pieter "Mudge" Zatko'nun geçtiğimiz ay Amerikan Kongresi ve devlet kurumlarına gönderdiği 200 sayfalık ifşa belgesi niteliğindeki rapor Amerikan basın kuruluşları CNN ve The Washington Post tarafından kamuoyuyla paylaşıldı. Zatko, raporunda şirketin kötü yönetildiğini belirterek bunun yarattığı "kaotik ve tedbirsiz" ortamı tanımladı. Zatko ayrıca şirketin siber güvenlik açıklarının Twitter yönetimi tarafından saklandığını ve bunun yabancı casusluk ve yanlış bilgilendirme kampanyalarına zemin hazırlayabileceğini iddia etti.

Twitter'ın kurucusu Jack Dorsey tarafından işe alınan Zatko ocak ayında düşük performans ve yetersiz yöneticilik gerekçesiyle Twitter'dan kovulmuştu. Doğrudan şirketin tepe yöneticine bağlı olarak çalışan Zatko ise kovulma nedeninin şirketin güvenlik sorunlarıyla ilgili uyarılarda bulunmasına bağlıyor.

Dorsey'in kasım ayında görevini bırakmasının ardından icra direktörü koltuğuna oturan şirketin eski baş teknoloji direktörü Parag Agrawal ile Zatko arasındaki anlaşmazlık, sorunların çıkış noktası olarak gösteriliyor.

Zatko, "Agrawal ve yandaşlarının yönetim kurulu üyelerine şirketin siber güvenlikle ilgili durumu hakkında yazılı değil sözlü bilgi paylaşması talimatını verdiğini, tam bilgi paylaşmasını engellediğini, siber güvenlik alanında ilerleme kaydediliyor hissi yaratmak için verileri seçerek ve saptırarak sunmasını istediğini, hatta bir danışmanlık firması ile anlaşarak şirketin sorunlarını gizleyen rapor hazırlatmak suretiyle arkasından iş çevirdiklerini" ileri sürüyor.

Yönetimsel ve teknik hatalar

Twitter'ın eski güvenlik şefi Zatko öncelikle çok sayıda personelin platformun merkezi kontrollerine erişimi bulunduğunu ve hassas bilgilerin yetersiz şekilde gözetildiğini ileri sürdü.

Zatko raporunda "üretim ortamı" olarak tanımlanan ve teknisyenlerin platformda değişiklik yapmasına izin veren iç erişimi kısıtlamanın olanaklarını araştırdığını ifade ediyor. Zatko "Üretim ortamını korumak imkansızdı. Bütün teknisyenlerin erişimi var. Ortama kimin girdiği ve ne yaptığı belli değil. Kimse verinin nerede bulunduğunu ya da ne kadar kritik olduğunu bilmiyor" ifadelerini kullandı.

Twitter'ın çalışanlarını bilgi güvenliği hatalarından sorumlu tutma becerisinden yoksun olduğunu savunan Zatko şirketin çalışanların iş bilgisayarları üzerinde kontrol ve görünürlüğünün de olmadığını, iç siber güvenlik raporlarında tahminen her 10 cihazın dördünde temel güvenlik standartlarının bulunmadığını gösterdiğini iddia etti.

Eski Facebook çalışanından şirket politikalarına dair çarpıcı iddialar: Öfkeden para kazanıyorlar
Twitter'ın sunucu altyapısının da dayanıksız olduğunu ileri süren Zatko şirketteki 500 bin sunucunun neredeyse yarısının eski yazılımlarla çalıştığını belirtti ve bu nedenle veri saklama ya da sağlayıcılar tarafından düzenli güvenlik güncellemesi için kriptolama yapma gibi temel güvenlik özelliklerin desteklenmediğinin altını çizdi.

Zatko ayrıca Twitter'ın hesap kapatan kullanıcılara ait bilgileri de düzgün silmediğini ileri sürdü. Bazı durumlarda şirketin bilginin izini kaybettiğini belirten Zatko, düzenleyici kurumlara da bilgilerin gerektiği şekilde silindiğine dair yanıltıcı bilgi verdiğini ifade etti.

Twitter-Musk davası ve iddiaların zamanlaması

Zatko'nun bir diğer iddiası ise botlarla ilgili. Twitter yöneticilerinin platformda kaç adet bot yani otomatik bilgisayar programları tarafından yönetilen hesap bulunduğunu tam olarak anlayabilecek kaynağa sahip olmadıklarını dile getiren Zatko, bunu bilmek için bir motivasyonları olmadığını da ileri sürdü.

Botlarla ilgli bilgiler platformu satın almak için yaptığı 44 milyar dolarlık anlaşmadan vazgeçen Elon Musk ile Twitter arasındaki en büyük anlaşmazlık konusu. Zatko'nun bu açıklamalarının Musk-Twitter davasının  hemen öncesine denk gelmesi bazı kesimlerde soru işaretlerine neden oldu.

Nitekim Twitter tarafından iddialara karşı yapılan açıklamada "Zatko'nun iddiaları ve fırsatçı zamanlaması dikkat çekmek ve  Twitter'a, hissedarlarına ve kullanıcılarına zarar vermek için tasarlandığı görünümü veriyor. Güvenlik ve gizlilik Twitter'ın şirket genelindeki önceliğidir ve hala yapmamız gereken çok şey var" ifadeleri kullanıldı.

Yabancı tehditlere karşı zayıflık

Zatko, Kongre ve hükümet kurumlarına sunduğu raporda Twitter'ın olağandışı şekilde yabancı hükümetlerin istismarına ve Amerikan ulusal güvenliğini baltalamaya açık olduğunu ileri sürdü. Zatko'ya göre şirket bünyesinde yabancı ajanlar bile çalışıyor olabilir. Zatko raporunda kovulmadan önce Amerikan hükümeti tarafından en az bir çalışanın yabancı bir hükümetin istihbaratı için çalıştığına dair delil sunduğunu ifade etti.

Zatko'nun raporunun kamuoyuyla paylaşılmasından iki hafta önce eski bir Twitter yöneticisi Suudi Arabistan'da casusluktan dolayı tutuklanmıştı.

Twitter'ın eski güvenlik şefi raporunda Rusya'ya ilişkin iddialar da ileri sürdü.

Rusya'nın 24 Şubat'ta Ukrayna'yı işgali öncesinde o dönemde baş teknoloji direktörü olarak çalışan Agrawal'ın kendisine Twitter'ın Rusya'nın taleplerine uymasını önerdiğini iddia eden Zatko önerinin kabul edilmediğini belirtti, ancak şirketin şu anki tepe yöneticisinin Putin rejimine suç ortaklığı yapmayı önermesinin bile Amerikan ulusal güvenliğine karşı ne denli büyük kaygı oluşturduğunun altını çizdi.
24 Ağustos 2022 09:56
DİĞER HABERLER