Los líderes demócratas y republicanos del Comité Judicial del Senado de EE. UU. criticaron a Twitter por supuestas fallas de seguridad en una carta anoche en la víspera de la audiencia de hoy con el testimonio del denunciante Peiter «Mudge» Zatko.
«Escribimos sobre las recientes acusaciones de que Twitter ha hecho la vista gorda ante la infiltración de inteligencia extranjera, no protege adecuadamente los datos de los usuarios y ha proporcionado información engañosa o inexacta sobre sus prácticas de seguridad a las agencias gubernamentales», dijo el presidente del Comité Judicial, Richard Durbin (D-Ill). .) y el miembro de rango Charles Grassley (R-Iowa) escribieron al CEO de Twitter, Parag Agrawal.
Zatko, quien fue jefe de seguridad de Twitter desde noviembre de 2020 hasta que fue despedido en enero de 2022, alegó en su denuncia que «descubrió deficiencias extremas y flagrantes de Twitter en todas las áreas de su mandato, incluida… la privacidad del usuario, la seguridad digital y física, e integridad de la plataforma/moderación de contenido». Zatko también afirmó que Twitter es culpable de «mentirle a Elon Musk sobre los bots», aunque su queja no parece refutar la divulgación pública de Twitter de que menos del 5 por ciento de sus usuarios activos diarios monetizables (mDAU) son spam o falsos.
La carta de Durbin y Grassley se centró en las supuestas fallas de seguridad de Twitter, incluidas las «prácticas de seguridad de datos [that] puede permitir que los gobiernos extranjeros y las agencias de inteligencia accedan a datos confidenciales que identifican a los usuarios de Twitter». El tema de la agencia de inteligencia extranjera «no es una preocupación teórica», escribieron los senadores. «El mes pasado, un jurado federal condenó a un ex empleado de Twitter por actuar como agente extranjero del Reino de Arabia Saudita. Mientras era empleado de Twitter, el acusado aceptó pagos a cambio de acceder y transmitir la información privada de los usuarios de Twitter a la familia real saudí y otros funcionarios saudíes».
Zatko alega «bomba de relojería» de fallas de seguridad
El Comité Judicial invitó a Twitter a que alguien compareciera en la audiencia de hoy, pero la empresa aparentemente se negó. La declaración de apertura de Zatko en la audiencia decía: «Al unirme a Twitter, descubrí que la empresa tenía 10 años de problemas críticos de seguridad atrasados y no estaba logrando un progreso significativo en ellos. Esta era una bomba de tiempo de vulnerabilidades de seguridad. Mantenerme fiel a mi filosofía de divulgación ética, revelé repetidamente esas fallas de seguridad a los niveles más altos de la compañía. Fue solo después de que mis informes no fueron escuchados que presenté mis revelaciones a las agencias gubernamentales y reguladores».
La carta de Durbin y Grassley le pedía a Agrawal que respondiera una lista de preguntas antes del 26 de septiembre. «¿Cómo, si es que lo hace, protege Twitter sus sistemas de producción en vivo y/o los datos de los usuarios del posible acceso de agentes de gobiernos extranjeros?» ellos preguntaron. «¿Hasta qué punto son capaces los equipos de seguridad de Twitter de determinar si agentes de gobiernos extranjeros u otros actores infames han intentado acceder a sistemas confidenciales o datos de usuarios?»
También preguntaron cómo Twitter «garantiza[s] que los empleados ubicados en países extranjeros están protegidos de la influencia de gobiernos extranjeros» y que «los empleados no están trabajando activamente en nombre de gobiernos extranjeros». países de habla», escribieron.
En la audiencia de hoy, Zatko testificó que le «dijeron que había al menos un agente del MSS, que es uno de los servicios de inteligencia de China, en la nómina dentro de Twitter», informó Vice.
Los senadores investigan el acceso de los empleados a los datos
La carta de Durbin y Grassley describía las afirmaciones de que Twitter no tiene suficiente control sobre cómo los empleados acceden a los datos confidenciales. La «divulgación» de Zatko sugiere que más de la mitad de los empleados de tiempo completo de la compañía tienen acceso privilegiado a los sistemas de producción de Twitter, lo que permite que varios miles de empleados accedan a datos confidenciales de los usuarios, mientras que, al mismo tiempo, se informa que Twitter carece de la capacidad suficiente para saber de manera confiable quién tiene accedieron a sistemas y datos específicos y lo que hicieron con ellos», escribieron.
Los senadores le preguntaron a Agrawal cuántos ingenieros y otros empleados de Twitter tienen «acceso a sistemas de producción en vivo y/o datos de usuario» e hicieron varias otras preguntas sobre el acceso y la seguridad de los empleados. «¿Hasta qué punto los ingenieros de Twitter usan datos de producción en vivo y prueban software nuevo directamente en el servicio comercial de la empresa, a diferencia de los sistemas de prueba segregados?… Si el software nuevo no se prueba en un sistema de prueba segregado, usando datos de prueba, por favor explicar por qué Twitter no sigue esta práctica, que sí hacen muchas de sus empresas pares», escribieron.
Los senadores le pidieron a Agrawal que respondiera a las afirmaciones de que cuando la Comisión Federal de Comercio «le preguntó a Twitter si eliminó por completo los datos de los usuarios que abandonaron el servicio, Twitter engañó deliberadamente a la FTC al afirmar que esas cuentas estaban ‘desactivadas’, incluso cuando los datos no estaban completamente borrado».
También le pidieron a Agrawal que confirmara o refutara las acusaciones de que «más del 50 por ciento de los 500.000 servidores del centro de datos de Twitter [use] kernels o sistemas operativos que no cumplen», que muchos de estos servidores «no pueden admitir el cifrado en reposo», que más del 30 por ciento de los dispositivos de los empleados tienen software y actualizaciones de seguridad deshabilitadas, y que Twitter «no tiene administración de dispositivos móviles» para los teléfonos de los empleados.
Nos comunicamos con Twitter sobre la carta y actualizaremos este artículo si recibimos una respuesta.
Actualización a las 5 p. m. ET: Twitter respondió a Ars, diciendo que la «audiencia de hoy solo confirma que las acusaciones del Sr. Zatko están plagadas de inconsistencias e imprecisiones». Twitter también dijo que su proceso de contratación no se ve afectado por la influencia extranjera y que la empresa gestiona el acceso a los datos con verificaciones de antecedentes, controles de acceso y sistemas de seguimiento y detección.