افشاگری مدیر سابق توییتر؛ از همکاری با ماموران دولتی تا ناتوانی در تامین امنیت کاربران
افشاگری مدیر سابق توییتر؛ از همکاری با ماموران دولتی تا ناتوانی در تامین امنیت کاربران
به دنبال این افشاگری، هشت نفر از کارمندان فعلی و سابق توییتر به شرط ناشناس ماندن، با مجله تایم گفتوگو کردند تا در مورد آن صحبت کنند. آنها در این گفتوگو اظهار داشتهاند که بسیاری از جنبههای افشای زاتکو، به ویژه ادعاهای زاتکو در مورد کمبودهای امنیتی و قصور در رهبری شرکت، با تجربیات آنان همخوانی دارد. برخی از کارکنان نیز بر این باور بودهاند که ادعاهای او گمراهکننده، مبهم یا فاقد زمینه است و دلیل آن نیز به باور آنان، این است که زاتکو در بخشهای مختلف شرکت در رفتوآمد بوده و فقط بینش اولیهای از آنها داشته است.
مدیر سابق امنیت توییتر چه ادعاهایی علیه این شرکت مطرح کرده است؟
زاتکو با ارسال نامهای به کمیسیون بورس و اوراق بهادار آمریکا و ذکر مواردی، از جمله امنیت پایین سیستمهای مدیریتی و گمراهسازی کمیسیون تجارت فدرال و کاربران، مدعی حفاظت ناکافی توییتر از حریم خصوصی کاربران و ارائه اطلاعات نادرست درباره تعداد «بات»ها، حسابهای کاربری جعلی توییتر، شده است. زاتکو همچنین ادعا کرده است که این شبکه اجتماعی به ابزاری برای ردیابی معترضان از سوی دولتها تبدیل شده است.
زاتکو ادعا میکند که «رهبر توییتر»، هیاتمدیره و «رگولاتور»های دولتی را در مورد آسیبپذیریهای امنیتی گمراه کرده است. از جمله مواردی که زاتکو مطرح میکند، این است که توییتر راه نفوذ را برای جاسوسی یا دستکاری خارجی، هک، و پویشهای نشر اطلاعات نادرست، باز گذاشته است. افشاگر همچنین ادعا میکند که توییتر پس از لغو حسابهای کاربری، اطلاعات کاربران را به شیوهای «قابلاعتماد» حذف نمیکند، و در برخی موارد، از دست رفتن «مسیر اطلاعات» در توییتر، دلیل این رخداد است. افشاگر همچنین میگوید که مدیران توییتر علاوه بر اینکه منابع لازم را برای برآورد تعداد واقعی باتها در این پلتفرم ندارند، انگیزهای هم برای این اقدام در این زمینه از خود نشان ندادهاند. موضوع باتها و حسابهای جعلی توییتر پیشتر از سوی ایلان ماسک نیز مطرح شده بود و ادعای فقدان شفافیت توییتر در این باره، از دلایل اصلی انصراف ایلان ماسک از خرید توییتر بوده است. وکیل زاتکو اعلام کرده است که زاتکو با ایلان ماسک تماسی نداشته است و فرایند افشاگری او، پیش از تصمیم ماسک برای خرید توییتر در جریان بوده است.
به دنبال این ادعاها، سخنگوی توییتر به سیانان گفته است که امنیت و حریم خصوصی، هر دو از اولویتهای دیرینه این شرکت بوده است و توییتر ابزارهای شفافی برای کنترل حریم خصوصی، تبلیغات هدفمند، و اشتراکگذاری دادهها فراهم میکند و شیوهای ایجاد کرده است تا کاربران اطمینان یابند که وقتی حسابهای خود را لغو میکنند، توییتر نیز حسابها را غیرفعال، و فرایند حذف آنها را آغاز میکند. اما به گفته سیانان، توییتر از پاسخ به این پرسش که آیا در اغلب موارد این فرایند را تکمیل میکند یا نه، خودداری کرده است.
یکی دیگر از افشاگریهای زاتکو که واکنشهای زیادی در پی داشته است، منع شدن او از ارایه گزارشهای درست به هیاتمدیره در دوران فعالیتش در توییتر بوده است. براساس این افشاگری، مدیرعامل توییتر و معاونان او بارها زاتکو را از ارائه گزارش کامل مشکلات امنیتی توییتر به هیاتمدیره منع کردهاند. به نظر میرسد که تیم اجرایی توییتر به زاتکو دستور داده بوده است که یافتههای خود را درباره وضعیت امنیتی شرکت، به صورت گزارش شفاهی به هیاتمدیره ارائه دهد و به جای یک گزارش مکتوب دقیق، دادههای نادرستی ارائه کند تا درک صحیحی از پیشرفت امنیتی شرکت ایجاد نشود.
زاتکو در بخش دیگری از افشاگریهای خود اعلام کرده است که پس از وقایع یورش به بنای کنگره آمریکا در ژانویه ۲۰۲۱، نگران بوده است که شخصی در توییتر که با حملهکنندگان همدردی میکند، بکوشد پلتفرم شرکت را دستکاری کند. به همین دلیل، زاتکو به دنبال محدود کردن «دسترسی داخلی» بوده است که به مهندسان توییتر اجازه میدهد تا تغییراتی را در بخش موسوم به «محیط تولید» (production environment) ایجاد کنند. اصطلاح «محیط تولید» برای توصیف تنظیماتی به کار میرود که در آن، نرمافزارها و سایر محصولات برای استفادههای مورد نظر کاربران نهایی، به کار گرفته میشوند. زاتکو میگوید، پس از بررسی متوجه شده است که محافظت از محیط تولید ناممکن است، زیرا همه مهندسان به آن دسترسی دارند و هیچ گزارشی از اینکه چه کسی وارد شده یا چه کاری انجام داده است، وجود ندارد، و علاوه بر آن، هیچ کس هم نمیداند که دادهها کجا قرار دارند. توییتر در این باره به سیانان گفته است که «اعضای تیمهای مهندسی و بخش محصولات توییتر، چنانچه توجیه تجاری خاصی داشته باشند، مجازند که به محیط تولید دسترسی داشته باشند.» این پاسخ توییتر را میتوان صحهای بر مدعای افشاگر دانست که عده زیادی به این محیط دسترسی دارند.
در سال ۲۰۱۰ نیز کمیسیون فدرال تجارت، از توییتر به دلیل سوءاستفاده از اطلاعات خصوصی کاربران و دسترسی بیش از حد کارمندان به بخش کنترلهای مرکزی، شکایت کرد. یک سال بعد از این شکایت، توییتر متعهد شد که اقدامات حریم خصوصی خود را بازبینی کند.
آیا توییتر در تامین امنیت کاربران ناتوان است؟
زاتکو با استناد به گزارشهای امنیت سایبری داخلی، برآورد میکند که از هر ۱۰ دستگاه در توییتر، چهار دستگاه استانداردهای امنیتی اولیه را رعایت نمیکنند، و ادعا میکند که توییتر در زمینه نقض امنیت اطلاعات، نمیتواند کارکنان خود را بازخواست، یا وادار به پاسخگویی کند، زیرا کنترل اندکی روی رایانههای کاری کارکنان دارد. زاتکو همچنین اعلام کرده است که حدود نیمی از ۵۰۰ هزار «سرور» توییتر بر روی نرمافزاری منسوخ شده اجرا میشوند که از ویژگیهای امنیتی اولیه، مانند رمزگذاری دادههای ذخیرهشده یا بهروز رسانیهای امنیتی منظم، پشتیبانی نمیکند.
همچنین، در این افشاگری ذکر شده است که پیش از اخراج شدن زاتکو، دولت آمریکا شواهدی مبنی بر همکاری دستکم یکی از کارکنان توییتر با سرویس اطلاعاتی یک دولت دیگر، در اختیار توییتر گذاشته است. او میگویدکه دولت هند توییتر را مجبور کرده است که یک نماینده دولتی (هند) استخدام کند. گفته میشود که مامور دولتی هند به دلیل ضعف در زیرساخت امنیتی توییتر، به اطلاعات حساس کاربران دسترسی داشته است.
تبعات افشاگریهای مدیر سابق توییتر، بیشک یکی از بزرگترین چالشهای پیش روی توییتر خواهد بود. چنانچه مشخص شود که توییتر تعهدات قانونی خود و حریم خصوصی کاربران را نقض کرده است، میلیاردها دلار جریمه در انتظار این شرکت خواهد بود. زاتکو نیز ممکن است به دلیل افشاگری مهم، واجد شرایط دریافت جایزه بزرگ مالی از سوی دولت ایالات متحده شود.