يشهد المبلغون عن المخالفات على Twitter لمجلس الشيوخ عن ثغرات أمنية كبيرة: ‘إنهم لا يعرفون ما لديهم’

تويتر
أدلى رئيس الأمن السابق بيتر ‘مودج’ زاتكو بشهادته أمام لجنة بمجلس الشيوخ يوم الثلاثاء أن صاحب عمله السابق أعطى الأولوية للأرباح على معالجة المخاوف الأمنية التي قال إنها تعرض معلومات المستخدم لخطر الوقوع في الأيدي الخطأ.

قال زاتكو وخبراء أمنيون آخرون إنه على الرغم من العيوب ، لا ينبغي أن يشعر المستخدمون بالضرورة بأنهم مجبرون على حذف حساباتهم.

قال ليمان: ‘يمكن للناس دائمًا أن يختاروا قطع الاتصال’. لكن الواقع هو أن منصات التواصل الاجتماعي هي منابر للحوار. وهم ساحة البلدة الجديدة. هذا يخدم الصالح العام. أعتقد أنه سيكون أمرًا سيئًا إذا توقف الناس عن استخدامه ‘.

قال حجازي إنه لا فائدة من الاختباء.

قال: ‘هذا مستحيل في هذا اليوم وهذا العصر’. ‘ومع ذلك ، أعتقد أن كونك ساذجًا للاعتقاد بأن هذه المنظمات لديها بالفعل هذا الأمر تحت السيطرة وأن معلوماتك مؤمنة بالفعل هو أمر خاطئ.’

قال زاتكو لأعضاء اللجنة القضائية بمجلس الشيوخ ، بعد أقل من شهر من الإبلاغ علنًا عن شكوى المبلغين عن المخالفات: ‘ليس بعيد المنال أن نقول إن موظفًا داخل الشركة يمكنه تولي حسابات جميع أعضاء مجلس الشيوخ في هذه الغرفة’.

شهد Zatko أن Twitter يفتقر إلى تدابير الأمان الأساسية ولديه نهج حر للوصول إلى البيانات بين الموظفين ، مما يفتح النظام الأساسي لمخاطر كبيرة. كما كتب في شكواه ، قال زاتكو إنه يعتقد أن وكيلًا للحكومة الهندية تمكن من أن يصبح موظفًا في الشركة ، وهو مثال على عواقب ممارسات الأمن المتراخية.

تضيف الشهادة الوقود إلى انتقادات المشرعين بأن منصات التكنولوجيا الرئيسية تضع الإيرادات وأهداف النمو على حماية المستخدم. في حين أن العديد من الشركات لديها عيوب في أنظمتها الأمنية ، فإن مكانة Twitter الفريدة باعتبارها ساحة عامة بحكم الأمر الواقع قد ضاعف من اكتشافات Zatko ، والتي اكتسبت أهمية إضافية بالنظر إلى الخلاف القانوني بين Twitter وإيلون ماسك.

سعى Musk إلى شراء الشركة مقابل 44 مليار دولار ، لكنه حاول بعد ذلك التراجع عن الصفقة ، مدعياً ​​أن Twitter كان يجب أن يكون أكثر استعدادًا لتقديم معلومات حول كيفية حساب النسبة المئوية لحسابات البريد العشوائي. قال قاضٍ في القضية مؤخرًا إن ماسك يمكنه مراجعة مطالباته المضادة للإشارة إلى القضايا التي أثارها زاتكو.

شكك متحدث باسم Twitter في شهادة Zatko وقال إن الشركة تستخدم ضوابط الوصول والتحقق من الخلفية وأنظمة المراقبة والكشف للتحكم في الوصول إلى البيانات.

وقال المتحدث في بيان: ‘جلسة اليوم تؤكد فقط أن مزاعم السيد زاتكو مليئة بالتناقضات وعدم الدقة’ ، مضيفًا أن توظيف الشركة مستقل عن النفوذ الأجنبي.

فيما يلي النقاط الرئيسية من شهادة زاتكو

وفقًا لـ Zatko ، فإن أنظمة Twitter غير منظمة لدرجة أن النظام الأساسي لا يمكنه الجزم بما إذا كان قد تم حذف بيانات المستخدمين بالكامل. ذلك لأن تويتر لم يتتبع مكان تخزين كل هذه البيانات.

قال زاتكو: ‘إنهم لا يعرفون ما هي البيانات التي يمتلكونها ، أو أين تعيش أو من أين أتت ، وبالتالي ، ومن غير المفاجئ ، لا يمكنهم حمايتها’.

قال كريم حجازي ، الرئيس التنفيذي لشركة بريفليون للاستخبارات الإلكترونية ، إن المؤسسات الكبيرة مثل تويتر غالبًا ما تواجه ‘انحرافًا في البنية التحتية’ ، عندما يأتي الأشخاص ويذهبون ، ويتم أحيانًا إهمال الأنظمة المختلفة.

قال حجازي ، الذي شغل سابقًا منصب مدير الاستخبارات في Mandiant ، المملوك الآن لشركة Google
. ‘المشكلة الآن ، على عكس المرآب حيث يمكنك الذهاب إليه ويمكنك البدء في تفكيكه بطريقة منهجية … لا يمكنك ببساطة مسح قاعدة البيانات لأنها عبارة عن لحاف خليط من المعلومات الجديدة والمعلومات القديمة.’

قال حجازي إن إزالة بعض الأجزاء دون معرفة ما إذا كانت قطعًا بالغة الأهمية قد يخاطر بإسقاط النظام الأوسع.

لكن خبراء الأمن أعربوا عن دهشتهم من شهادة Zatko بأن Twitter لم يكن لديه حتى بيئة مرحلية لاختبار التحديثات ، ويمكن للمهندسين أن يتخذوا خطوة وسيطة بين بيئات التطوير والإنتاج لحل المشكلات المتعلقة بالشفرة قبل تفعيلها.

قال حجازي: ‘كان ذلك مفاجئًا للغاية بالنسبة لشركة تقنية كبيرة مثل Twitter لعدم امتلاكها الأساسيات’. حتى أصغر الشركات الناشئة الصغيرة في العالم التي بدأت قبل سبعة أسابيع ونصف ، لديها بيئات للتطوير والتنفيذ والإنتاج ‘.

قال كريس ليمان ، الرئيس التنفيذي لشركة SafeGuard Cyber ​​ونائب رئيس FireEye السابق ، ‘سيكون ذلك صادمًا بالنسبة لي’ إذا كان صحيحًا أن Twitter لا يحتوي على بيئة انطلاق.

وقال إن ‘المنظمات الأكثر نضجًا’ سيكون لديها هذه الخطوة لمنع الأنظمة من التعطل على موقع الويب المباشر.

قال ليمان: ‘بدون بيئة مرحلية ، فإنك تخلق المزيد من الفرص للأخطاء والمشاكل’.
قال زاتكو إن عدم فهم مكان حياة البيانات يعني أن الموظفين يتمتعون أيضًا بوصول أكبر بكثير مما ينبغي أن يكونوا على أنظمة تويتر.

قال زاتكو: ‘لا يهم من لديه مفاتيح إذا لم يكن لديك أي أقفال على الأبواب’.

يزعم زاتكو أن المهندسين ، الذين يشكلون جزءًا كبيرًا من الشركة ، يتم منحهم حق الوصول إلى بيئة الاختبار المباشر على Twitter افتراضيًا. قال هذا تي