5 vragen over de beveiligingszorgen van de klokkenluider bij Twitter

Een inmiddels ontslagen directeur van Twitter heeft de beerput opengetrokken over een aantal grote tekortkomingen bij het bedrijf. Welke beschuldigingen zijn dat en hebben die invloed op de toekomst van het sociale netwerk?

Wat is er precies gebeurd?

CNN en The Washington Post schreven op dinsdag over een klokkenluider bij Twitter. Die klokkenluider is Peiter Zatko, die ook wel bekend is onder de bijnaam Mudge en een bekende hacker is. Hij was het voormalige hoofd van beveiliging bij Twitter en werd in januari van dit jaar ontslagen bij het bedrijf. De officiële reden van zijn ontslag is volgens Twitter zijn slechte prestaties. Zatko heeft een maand geleden een brief gestuurd naar de Amerikaanse Securities and Exchanges Commission, ofwel SEC, de beurstoezichthouder. Die hebben CNN en The Washington Post nu ook in bezit, al hebben ze die niet gepubliceerd. Een van de redenen dat Zatko naar de SEC stapte, is omdat hij dan als klokkenluider aanspraak maakt op bescherming en financiële hulp. Dat wordt bevestigd door een brief die zijn advocaten vorige maand schreven en die nu openbaar is geworden.

Zatko wil niet over zijn ontslag praten en blijft bij de officiële verklaring daarvoor. Wel noemt hij meerdere problemen die in de afgelopen jaren zouden spelen bij Twitter. Welke dat zijn, weten we dus alleen van de artikelen die CNN en The Washington Post hebben gemaakt en niet uit de bron zelf. Wel heeft Mudge een interview gegeven waarin hij zijn kritiek nog eens uitlegt.

Wie is deze hacker?

'Mudge' is een bekende naam. Hij is een typische, klassieke hacker uit de tijd dat computers nog jong en spannend waren. Hij was onder andere lid van de hackersgroep The Cult of the Dead Cow en van hackerdenktank L0pth, hij deed veel onderzoek naar beveiligingskwetsbaarheden en werkte later onder andere bij de cybersecurityafdeling van Darpa en bij Google. Zatko is dus niet de eerste de beste middenmanager die wat geks in een bedrijf ziet; hij weet waar hij over praat.

Zatko kwam in 2020 bij Twitter werken. Toen vond een groot en vooral publiek hackincident plaats. De accounts van Apple, Bill Gates en Elon Musk werden overgenomen en plaatsten cryptoscams. Toenmalig baas van Twitter, Jack Dorsey, vroeg Zatko toen persoonlijk om als head of security bij het bedrijf binnen te komen. Sinds zijn aantreden rapporteerde hij direct aan de ceo; in het begin was dat Dorsey en inmiddels is dat Parag Agrawal. Zatko werd op 19 januari ontslagen bij het bedrijf, maar over dat ontslag wil hij niets kwijt.

Peiter Zatko tijdens een hoorzitting in het Amerikaanse Congres

Welke kritiek heeft Mudge?

Mudge noemt verschillende zaken waarbij Twitter de mist in ging. De meeste draaien om de interne beveiliging van het netwerk, maar ook de interne bedrijfsvoering is problematisch. De problemen opgesomt:

Geen securityplan
Twitter trof in 2010 een schikking met de Amerikaanse Federal Trade Commission rondom de beveiliging van het platform. De FTC concludeerde in dat jaar dat Twitter slecht omging met de privégegevens van gebruikers. Een van de belangrijkste problemen die met de schikking werden opgelost, was dat te veel medewerkers bij te veel interne informatie konden komen. Zatko zegt nu tegen de SEC dat Twitter niet voldoet aan die schikkingseisen. Twitter zou 'een abnormaal hoog aantal beveiligingsincidenten kennen'. In de praktijk zou er zeker eens per week een incident plaatsvinden dat moet worden gemeld aan autoriteiten. Dat is volgens Zatko veel meer dan bij veel andere bedrijven.

Toegang tot accounts
Medewerkers zouden op grote schaal toegang hebben tot gevoelige gebruikersdata, ook van grote accounts'Duizenden werknemers' hebben volgens Zatko brede toegang tot kernsoftware van het bedrijf. Ook zou die toegang slecht gemonitord worden. Zatko linkt die toegang aan verschillende incidenten in het verleden waarbij prominente accounts zoals dat van Elon Musk of oud-presidenten Obama en Trump konden worden overgenomen.

Oude software
Zatko zegt dat de helft van de 500.000 servers van het bedrijf verouderde en kwetsbare software draaien. Details over welke software dat is ontbreken. De software zou vaak geen versleuteling ondersteunen voor opgeslagen data en geen beveiligingsupdates van leveranciers meer krijgen.

Geheimhoudingen
Managers binnen het bedrijf zouden belangrijke cijfers rondom datalekken en beveiligingsincidenten achterhouden. Ze zouden hun bazen alleen onbelangrijke informatie met positieve informatie tonen.

Spam
Zatko zegt dat Twitter het belang van 'gebruikersgroei boven spambestrijding zou zetten'. Dat ging ten koste van de gebruikerservaring. Managers kregen hoge bonussen, tot wel tien miljoen dollar, als ze bepaalde metrics haalden zoals een groeiend aantal dagelijkse gebruikers. Er bestonden geen bonussen voor het bestrijden van spam op het platform.

Invloed van overheden
Volgens Zatko zou Twitter kwetsbaar zijn voor invloed van buitenlandse overheden. Zatko denkt dat de Indiase overheid Twitter dwong een agent in het bedrijf aan te nemen. Dat gebeurde op het moment dat er in het land protesten plaatsvonden. Veel details daarover staan alleen in de aanklacht die niet openbaar is, maar in combinatie met het feit dat zoveel medewerkers toegang hadden tot interne data, had dat ernstige gevolgen kunnen hebben. Een ander incident is dat Agrawal, nu ceo en toen cto, Zatko opriep om aan Russische eisen te voldoen om verregaande censuur en surveillance op het platform toe te passen. Dat plan heeft Twitter nooit doorgezet.

Ontbrekende processen
Twitter had weinig processen in werking voor het beveiligen van codeOnderdeel van de FTC-schikking in 2011 was dat Twitter intern een softwaredevelopmentlifecyclemodel zou opzetten. Dat is een model om code intern te controleren op veiligheid. Volgens Zatko zou dat model slechts op een tiende van alle interne projecten worden toegepast en vaak zelfs optioneel zijn. Ook zouden werknemers en managers hebben gelogen tegen de directie over de voortgang daarvan.

Zijn dit nieuwe incidenten?

De meeste incidenten en tekortkomingen die Zatko beschrijft, zijn inderdaad nieuw. Of beter gezegd, ze zijn niet eerder openbaar geworden. Ze kunnen echter veel incidenten uit het verleden goed verklaren. Twitter heeft een lange, gecompliceerde geschiedenis van beveiligingsincidenten. Vrij recent werden er nog 5,4 miljoen telefoonnnummers gelekt van gebruikers, maar het gaat lang niet altijd om incidenten. Zo kreeg het bedrijf een miljoenenboete voor het misbruiken van telefoonnummers. Die waren opgegeven voor tweestapsverificatie en om spam te bestrijden.

In het verleden zijn er ook regelmatig incidenten geweest rondom populaire accounts. De tiener die in 2020 bekende accounts hackte voor cryptoscams was er een van, maar er was ook de zaak van de Nederlandse Victor Gevers die het wachtwoord van Donald Trumps account raadde. Verder zijn er in het verleden tientallen incidenten geweest rondom de beveiliging van Twitter, groot- en kleinschalig. Het lijken er gevoelsmatig meer te zijn dan bij veel andere techbedrijven, al hebben we daar geen harde cijfers voor.

Hebben deze incidenten nog invloed op de overname van Twitter door Elon Musk?

Volgens Zatko is Twitter misleidend over het aantal bots op het platformDat is nu nog moeilijk te zeggen; beide partijen hebben daar nog niet op gereageerd. Een ding staat in ieder geval wel vast: de strijd rondom spambots zal er wel door oplopen. Dat is het centrale probleem in de overname. Twitter en Elon Musk hebben onenigheid over het aantal bots op het platform en dat zou de overnameprijs beïnvloeden. Zatko heeft ook daar het een en ander over te zeggen.

Zatko zegt dat hij begin 2021 aan Twitter voor het eerst om informatie vroeg over het aantal spambots op Twitter. Twitter zou toen hebben gezegd niet te weten hoeveel bots er op het platform zitten. Volgens Zatko leek het betreffende team ook weinig interesse te hebben om daar achter te komen.

Bovendien zou Twitter regelmatig zeggen dat '9 tot 15 procent van alle gebruikers bots zijn', maar dat is volgens Zatko misleidend. Twitter zou namelijk alleen een percentage noemen van het aantal monetizable daily active users en niet het totaal aantal gebruikers. Het is niet duidelijk wat er precies over bots in het document van Zatko staat. Zo is niet bekend of dat kan dienen als bewijs in de rechtszaak die Musk en Twitter momenteel hebben lopen. Maar één ding is zeker: Twitter lijkt inderdaad geen idee te hebben van het aantal spambots, of heeft op zijn minst weinig moeite gedaan om dat uit te zoeken.

Reacties (20)

Djordjo 23 augustus 2022 19:20

Twitter en Elon Musk hebben onenigheid over het aantal bots op het platform en dat zou de overnameprijs beïnvloeden.

Volgens mij is de enige onenigheid de gehanteerde definitie van een bot. Ik zie niet in hoe dat de overnameprijs beïnvloedt; het staat duidelijk verwoord in de overeenkomst en Musk heeft afgezien van boekenonderzoek.

yvez

@Djordjo • 25 augustus 2022 12:09

Incorrect. Zo wordt wellicht de discussie geframed, maar het is wel degelijk het aantal. De informatie in dit artikel bevestigd het maar weer, Twitter's eigen team schijnt dus niet te weten hoeveel bots er exact zijn, of niet op zijn minst in staat zijn dat even uit te zoeken (willen?). Either way, ze doen moedwillig vaag over de getallen en dat is wel degelijk iets waar naar gekeken moet worden voor een overname, en eigenlijk überhaupt wel .....

morphje @Djordjo • 24 augustus 2022 07:29

Ja leuk dat boekenonderzoek, maar elke overeenkomst gaat ook uit van correcte naleving van de wet. In de wet staat dat je SEC filing correct moeten zijn. Als de SEC filings incorrect zijn, hebben ze een veel groter probleem. De overeenkomst had ook een periode van onderhandelingen van iets van 6 maanden. De overeenkomst was dus nog niet rond, er moesten nog veel puntjes op de i gezet worden.

En dan komt een ander leuk feitje om de hoek kijken. Achterkamertjes onderhandelingen om een overeenkomst te bereiken buiten de rechter om. Maar op dit moment heeft Musk voorlopig meer voordeel van het openlijk uitvechten en de onzekerheid voor twitter voor de koers fluctuaties.

Hee_Martijn 24 augustus 2022 00:01

Dit is best wel een dingetje. Zal dit de ondergang of juist de redding van Twitter zijn dat dit naar buiten komt?

morphje @Hee_Martijn • 24 augustus 2022 07:33

Elke openbare fittie over twitter op twitter heeft geleid tot behoorlijke fluctuaties op de markt. En dat waren relatief onschuldige berichten. Dit zijn best pittige aantijgingen en ik denk dat het wel serieuze gevolgen kan hebben als ze op waarde geschat worden.

blorf 23 augustus 2022 20:50

Volgens mij is het probleem van Twitter dat er helemaal geen onderzoek nodig is om zichtbaar te maken dat een significant deel van de gebruikersaccounts niet door een persoon worden vertegenwoordigd.
Waarschijnlijk worden ze straks gedwongen om mee te gaan in een overname onder de prijs omdat ze anders gewoon op de beurs gesloopt worden door diskrediet.

[Reactie gewijzigd door blorf op 23 juli 2024 17:06]

Bulkzooi @Bulkzooi • 13 september 2022 21:16

Yep, er is een Twitter Panel bij betrokken. En die draait op het intranet.

Zatko's disclosure betreft o.a. het Congress, en deze hearing was een video conference met Delaware Chancery Court, 6 september 2022. 13 september is er een hoorzitting door de Amerikaanse Senaat, en in oktober nog een.

Elon Musk dagvaarde voormalig ex-Twitter Chief Security Officer Peiter Zatko, en ze delen hetzelfde doel in de zitting: aantonen dat Twitter verkeerd telt & rapporteert, aka spam-accounts.

En dat die NDA's belemmerend werken? Dat is het hele concept. Maar dat zijn allemaal Twitter's problemen, en die documentatie die Peiter Zatko verstuurd heeft naar de SEC en de FTC zal echt wel technisch onderbouwd zijn. En aangevuld met praktijkvoorbeelden.

Stel dat Twitter verkeerd de SEC heeft voorgelicht, en dus ook niet goed gecontroleerd door de FTC, en daarmee alle stakeholder en betrokkenen voor de gek houdt. Da's soweizo niet niks en grensoverschrijdend. Vanaf dan wordt het downhill met Twitter.

Of Musk de held wordt die het Amerikaanse FreeSpeech kocht voor $45 miljard betwijfel ik want het gaat politiek gezien sowiezo over section230. Musk heeft een ijzersterke positie richting Twitter, en die wordt zo enkel versterkt, NDA's of niet. Dat Twitter in de aanval is, is sowiezo al juridische idioterie.

Ik ben van mening dat de mensheid sowieso openbare zittingen nodig heeft voor de rijkste mensen van elke generatie. Planetair belang.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 17:06]

Bulkzooi @Bulkzooi • 13 september 2022 21:17

Ik ben van mening dat Musk's risico niet groter is dan de boete clausule is en dat de hype rondom zijn persoon zelfs al meer meerwaarde heeft gecreëerd voor Musk, zijn bedrijven en zijn belangen/idealen. Hij heeft zowel het bod als deze zaak nb. zelf geïnitieerd.

Voor Twitter is het een overlevingsstrijd, waarbij ze van binnenuit op te veel weerstand stuiten. Vandaar ook dat Twitter in de aanval gaat; die zitten in de hoek gedreven.

Verder is het belangrijkste gedeelte van de zaak, Twitter Security en 250.000 servers die niet geupdate werden, niet openbaar en rechter McCormick heb ik geen oordeel over.

We zullen zien. Ik ben vooral benieuwd naar de zaken van Zatko bij SEC, DoJ & FTC. Zatko is toch een soort van eindbaas onder de CTO-ridders en zijn bevindingen en conclusies over Twitter's Security zullen het nieuws nog wel ff blijven domineren vermoed ik.

Bovendien, de relatie tussen Badboy Musk en de SEC staat ook niet bol van de successen.

Gelopen zaak @Spatienazi

Mudge en Musk gaan Twitter vermorzelen & Twitter houdt de SEC voor de gek.

At the heart of this dispute lies Musk's decision to simply walk away from a legally binding agreement to acquire Twitter at $54.20 per share while citing the uncertainty around the quantum of bots or fake accounts that constitute a part of Twitter's monetizable Daily Active Users (mDAUs) metric as the casus belli.

Twitter, on the other hand, believes that its inability to definitively measure its mDAUs does not constitute a valid reason for Musk's abandonment of the deal.

Dat Kathaleen St. Jude McCormick maar wijs mag worden.

In his Congressional testimony today, Pieter "Mudge" Zatko has alleged that Twitter's leadership is "misleading the public, lawmakers, and even its own board of directors."

Mudge said, "They don't know what data they have, where it lives or where it came from, so unsurprisingly, they can't protect it."

He added that a Twitter employee "could take over the accounts of all the senators in this room."

En het blijkt via U.S. SENATOR GRASSLEY dat Mudge één week na een anoniem report ontslagen werd:
#IANAL #RTFM, maar Twitter is altijd een honeypot geweest.

Cc:@i-chat
@Super_Fred

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 17:06]

Spatienazi @Bulkzooi • 15 september 2022 20:07

Ik vrees dat ik je ga teleurstellen, maar niets van wat je zegt is van enige betekenis.

Mudge en Musk gaan Twitter vermorzelen & Twitter houdt de SEC voor de gek.

Twitter heeft de SEC niet voor de gek gehouden, en is open geweest over hoe ze spamaccounts berekenen. De SEC heeft Twitter vragen gesteld, en Twitter heeft netjes open kaart gespeeld. De SEC wist genoeg en ging daarmee akkoord.

Als je denkt dat Mudge het daarmee oneens is, kom je bedrogen uit. Hij zei:

Er zijn miljoenen actieve accounts die niet onder "mDAU" vallen, zij het omdat het spambots zijn of omdat Twitter niet gelooft dat ze het kunnen monetariseren. Deze miljoenen niet-mDAU-accounts zijn onderdeel van de ervaring van de gemiddelde gebruiker op het platform. En over veel van deze niet-mDAU-accounts heeft Musk gelijk: Twitter executives hebben geen motivatie om de aanwezigheid van spambots accuraat te "detecteren" of meten.

De vraag is hier echter niet hoeveel spam er op het platform is, maar hoeveel in de mDAU is, en laat dat nou precies zijn wat Twitter heeft gerapporteerd aan de SEC, en niet de misvatting die Musk niet alleen publiekelijk roeptoetert, maar ook in zijn interne communicatie lijkt te herhalen. Mudge zegt dan wel dat Musk gelijk heeft, maar de feiten liggen anders: de executives hebben wél die motivatie - het maakt ze aantrekkelijker voor advertentiepartners - en ze doen dat dan ook.

Dat Kathaleen St. Jude McCormick maar wijs mag worden.

Waar ze op dit moment heel erg wijs van wordt, is het gedrag van Musks team. Ze saboteren de procedures om te rekken, en houden bewust informatie achter. Zo had de rechter bevolen dat Musks team interne communicatie vrijgaf over de Twitter-deal. Ze gaven communicaties van vier mensen waarvan Twitter al wist. Toen in de communicaties behoorlijke leemtes bleken te zitten, kwam Twitter verhaal halen bij Musks team, die ineens met 491 andere mensen aan kwamen zetten... na de deadline, natuurlijk.

De rechter is niet onder de indruk van zulke sabotage terwijl Twitter hier degene is die het grootste deel van het werk aan het doen is, dus ja, ze wordt zeker weten wijs.

En het blijkt via U.S. SENATOR GRASSLEY dat Mudge één week na een anoniem report ontslagen werd

En hoe graag Musk en Mudge did ook zouden willen, dit heeft niets met de overname van Twitter te maken. Musk hoopt zich hiermee een uitweg te kunnen verschaffen, maar dit is natuurlijk gewoon zoeken naar strohalmen om zich aan vast te klampen, want alles is beter dan Musks onzin-verhaaltje over mDAUs.

Het is nog steeds niet heel sterk, want het argument dat ze in de zaak brengen gaat niet over of Twitter z'n zaakjes technisch op orde heeft, maar over ontslagvergoedingen. Mudge heeft, nadat Musk had getekend voor overname, 7,75 miljoen dollar gekregen. Het bezwaar?

Twitter heeft niet de goedkeuring gevraagd van [Musk] voor de betaling, en de betaling is ook niet aangegeven bij [Musk].

Nog steeds geen hele goede reden. Immers hoeft Twitter alleen maar duidelijk te maken dat ontslagvergoedingen normaal zijn in hun tak van sport.

Anonymoussaurus @Bulkzooi • 11 september 2022 19:57

The storage & messaging teams provide the following services:
Hadoop clusters running both compute and HDFS

Hadoop: We have multiple clusters storing over 500 PB divided in four groups (real time, processing, data warehouse and cold storage). Our biggest cluster is over 10k nodes. We run 150k applications and launch 130M containers per day.

Hadoop/HDFS is also the backend to our Scribe-based log pipeline, but in the final testing phases of the transition to Apache Flume as a replacement in order to address limitations like a lack of rate limiting/throttling of selective clients to aggregators, lack of delivery guarantee for categories, and to solve memory corruption issues. We handle over a trillion messages per day and all of these are processed into over 500 categories, consolidated and then and selectively copied across all our clusters.
(thnx, tweaker@AnonymousWP )

Hmm??

Bulkzooi @Anonymoussaurus • 12 september 2022 18:45

Hmm??

Via die linkjes die je poste. Betreft iets van de architecture van Twitter's globale data&storage-strategy. Je kan het ook een metadata-generator noemen.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 17:06]

Anonymoussaurus @Bulkzooi • 12 september 2022 22:28

Kan me niet herinneren dat ik dat heb gepost en waar. Bron?

Bulkzooi @Anonymoussaurus • 12 september 2022 22:31

Hierzo.

nieuws: 'Twitter-klokkenluider Zatko ondertekende geheimhoudingsverklaring me...

Of hierzo

nieuws: Musk dagvaardt Twitter-klokkenluider in overnamerechtszaak om spamacc...
En toen ging ik doorzoeken.

[Reactie gewijzigd door Bulkzooi op 23 juli 2024 17:06]

Anonymoussaurus @Bulkzooi • 12 september 2022 22:39

Uhm, nee? Ik kan mijzelf helemaal niet terugvinden in de reacties en ik ben ook niet de auteur of submitter.

Bulkzooi @Anonymoussaurus • 12 september 2022 22:41

ow, zal ik je lostaggen dan?

Anonymoussaurus @Bulkzooi • 12 september 2022 22:42

Stuur een direct link naar m'n reactie, ben wel benieuwd.