Het voormalige hoofd beveiliging bij Twitter, Peiter Zatko, heeft een boekje opengedaan over flinke misstanden bij het bedrijf. De onthullingen schetsen een beeld van totale chaos op het gebied van de beveiliging van het platform.
Door Tim Wijkman

Volgens Zatko is de situatie bij Twitter dermate zorgwekkend dat de veiligheid van gebruikers en aandeelhouders, de nationale veiligheid en zelfs de democratie in gevaar zijn.

Vanwege de ernst van de gemelde misstanden is Zatko toegelaten tot het beschermingsprogramma voor klokkenluiders. Daarmee laten de instanties weten zijn onthullingen zeer serieus te nemen.

Zatko heeft ongeveer tweehonderd pagina’s aan documenten over Twitter gedeeld met de autoriteiten. De documenten schetsen het beeld dat de onregelmatigheden een rol gespeeld kunnen hebben bij een Twitter-hack in 2020 en de bestorming van het Capitool in januari 2021.

Zatko werd aangesteld om orde op zaken te stellen

Naar aanleiding van de Twitter-hack werd Zatko eind 2020 bij het platform aangesteld om orde op zaken te stellen in de beveiliging. Hij ontdekte dat ongeveer de helft van alle medewerkers vergaande toegang tot systemen en informatie had zonder dat daar toezicht op was.

Zatko ontdekte verder dat Twitter beëindigde accounts van gebruikers niet goed verwijdert. Daarmee voldoet het platform volgens hem niet aan de wet- en regelgeving.

Nog zorgelijker was Zatko’s ontdekking dat ongeveer de helft van de 500.000 servers draaide op verouderde software. Deze servers waren onvoldoende beveiligd en kregen ook geen beveiligingsupdates.

Ook zorgen over storingen in datacenter

Ook de stabiliteit van Twitter baarde Zatko zorgen. Hij ontdekte dat een storing in een datacenter een kettingreactie zou kunnen veroorzaken. Daarbij zou Twitter volledig uit de lucht kunnen gaan en mogelijk niet meer terug online kunnen komen.

Na de bestorming van het Capitool zag Zatko in dat het Twitter-platform onvoldoende beveiligd was. Alle ontwikkelaars hadden toegang. Er werd niet gecontroleerd wie de systemen inging en wat zij deden. Het platform was daardoor volgens Zatko kwetsbaar voor spionage, hacks, manipulatie en verspreiding van desinformatie.

Verder had Twitter volgens de klokkenluider geen zicht op het aantal nepaccounts. Twitter rapporteerde het aandeel actieve nepaccounts in het aantal maandelijkse gebruikers. Dat is volgens Zatko een verkeerde meetmethode. Twitter zou het aandeel nepaccounts – actief en niet actief – in het totale aantal accounts moeten rapporteren, vindt hij.

Meldingen werden onder het tapijt geschoven

Zatko heeft zijn bevindingen meerdere keren met de top van Twitter willen delen. Hij is daarbij naar eigen zeggen tegen veel weerstand aangelopen. Een aantal bestuursleden van Twitter zou niets willen weten van de problemen die Zatko had geïdentificeerd.

Zatko zegt dat hij ook de aanbeveling heeft gekregen om ontdekkingen alleen mondeling te melden. Schriftelijke verslagen zouden kunnen uitlekken naar aandeelhouders of de autoriteiten. Dat zou het bedrijf kunnen schaden.

Uiteindelijk werd Zatko begin dit jaar ontslagen door Twitter. Volgens Twitter was dat omdat hij zijn werk niet goed gedaan had. Zatko beweert dat hij werd weggestuurd omdat hij de veiligheidsproblemen van het platform aan de kaak wilde stellen.

Extra munitie voor advocatenteam van Musk

De onthullingen spelen het advocatenteam van Tesla-directeur Elon Musk in de kaart. Musk maakte in april bekend dat hij het platform voor 44 miljard dollar (toen ruim 41 miljard euro) wilde kopen.

Musk wil nu onder de overname uitkomen omdat Twitter niet eerlijk geweest zou zijn over het aantal nepaccounts. De documenten van Zatko lijken dit te bevestigen.

Twitter heeft laten weten dat het zich niet herkent in het beeld dat Zatko schetst. Zijn bevindingen zitten volgens een woordvoerder vol “inconsistenties en onnauwkeurigheden”. Daarnaast zou er “belangrijke context” ontbreken. Het platform zegt ervan uit te gaan dat Zatko het bedrijf bewust schade wil toebrengen.


Lees meer over:

TwitterBeveiligingElon Musk

Source