新たに公開された Twitter 内部告発者の訴状に含まれる多くの忌まわしい主張の 1 つは、1 月 6 日の米国議会議事堂への攻撃の中で、潜在的な内部関係者の脅威から保護するために、Twitter がその運用環境を封鎖できなかったという不穏な暴露です。 Twitter の元セキュリティ責任者である Peiter “Mudge” Zatko は、連邦取引委員会 (FTC)、米国証券取引委員会 (SEC)、および司法省に提出された広範な新しい訴状で、Twitter が深刻なサイバーセキュリティの過失であると非難しました。 不十分なデータ保護から FTC 違反に至るまでのさまざまな申し立ての中で、苦情は、Twitter が自社の従業員が不正行為を行った場合に自らを保護する能力を欠いていたことを示しています。
この問題が発見されました 1月6日、 暴力的な暴徒が米国議会議事堂を攻撃した後。 予防措置として、Zatko は Twitter の内部システムをロックダウンすることを望んでいましたが、それはオプションではないことに気付きました。
Zatko 氏は、暴動を支援した可能性のあるスタッフからの内部の脅威から保護するために、Twitter が本番環境を密閉する方法をエンジニアリング担当の幹部に尋ねたと述べた。 訴状によると、国会議事堂への攻撃が進行中だったため、Zatko は従業員が生産環境にアクセスしたり、生産環境に損害を与えたりすることを望んでいませんでした。
しかし、彼が発見したのは、そのようなロックダウンは難しいだけでなく、不可能だと言われている.
「すべてのエンジニアがアクセスできました」と訴状には記載されています。 「誰が環境に入ったのか、何をしたのかは記録されませんでした。 ときマッジ [Peiter Zatko] リスクが高まるこの時期に、サービスの完全性と安定性を悪党や不満を抱くエンジニアから守るために何ができるかを尋ねたところ、それは基本的に何もないことがわかりました。 ログはなく、データがどこにあるのか、それが重要かどうかは誰にもわかりませんでした。すべてのエンジニアは、何らかの形で本番環境への重要なアクセス権を持っていました」と訴状には書かれています。
Twitter は 2020 年後半、ジョー・バイデン、ビル・ゲイツ、イーロン・マスクなどの著名人の Twitter アカウントを侵害した有名な攻撃を受けて、セキュリティ部門を率いるために Zatko を雇いました。 Zatko が Twitter に在籍していたとき、セキュリティの専門家は、基本的なセキュリティ制御と手順が欠けている会社を目撃したと主張し、約 5,000 人 (当時の Twitter のスタッフの半分) が「機密性の高いライブ プロダクション システムとユーザー」へのアクセスを許可されていました。彼らの仕事をするためにデータ」。
これは、通常、本番環境へのアクセスをロックする標準的なエンジニアリングおよびセキュリティの原則に反します。 Twitter の規模のテクノロジー企業のエンジニアは、通常、ライブの顧客データではなく、ステージング環境とテスト データを利用します。 Twitter はそうではなかった、Zatko が見つけた。 代わりに、従業員がライブの顧客データやその他の機密情報を使用して、本番環境で新しいソフトウェアを直接構築、テスト、開発していることを発見したと彼は言いました。 さらに、このアクセスの多くは監視も記録もされていなかったと苦情は示しています。
Twitter のセキュリティが侵害された結果、Zatko は、国会議事堂の暴動の際に内部関係者の脅威に対して脆弱であったと述べています。
苦情はまた、Twitter のログ記録の欠如により、従業員が捕まることなくさまざまな行動をとることができた可能性があることも強調しています。 2020 年 7 月 15 日に発生した仮想通貨企業やその他の著名人の Twitter アカウントへのハッキング事件に対するニューヨーク州金融サービス局 (DFS) の調査により、適切なログ記録に関する Twitter の問題はすでに知られていました。 DFSが発見した Twitterには、「適切なアクセス制御とID管理、および適切なセキュリティ監視」を含む、適切なサイバーセキュリティ保護が欠けていた.
さらに、訴状では、2020 年の Twitter ハッキングの時点で、Twitter には最高情報セキュリティ責任者 (CISO) がいなかったことが指摘されています。 Zatko は訴状の中で、Twitter がそのポリシーに違反している方法の 1 つとして、これにフラグを立てていました。 2011 年 FTC 同意命令。 (FTC 命令は、2009 年に発生した複数のセキュリティ インシデントにより、ハッカーが Twitter のシステムを管理制御できるようになった後に発令されました。FTC 契約の条件に基づき、Twitter は包括的な情報セキュリティ プログラムを確立および維持するよう命令されました。社外監査役)
訴状によると、2020 年に攻撃を受けたとき、Twitter には CISO も、情報セキュリティとプライバシー エンジニアリングに精通した幹部もいなかった。 同社は、2019 年 12 月にサイバー レジリエンス企業の Arceo に入社するために退職した後、前のセキュリティ責任者である Mike Convertino を失いました。 Twitter は 2020 年 9 月末まで後任を雇わず、クラウド データ管理会社 Rubrik の前職である Rinki Sethi を CISO として採用しました。 つまり、Twitter は 1 月 6 日までの 1 年間の大半を最高情報セキュリティ責任者なしで過ごしたということです。
Zatko はその後、2020 年 11 月に Twitter に参加し、セキュリティを率いました。
訴状によると、CISO が不在の場合、当時 Twitter の最高技術責任者で現在は CEO である Parag Agrawal 氏が、2020 年の Twitter ハッキングによって明らかになったセキュリティの脆弱性を修正するための主要な意思決定者でした。
その後、ザトコとセティの両方が 会社を辞めた 2021年11月にジャック・ドーシーが辞任した後、アグラワルがCEOに就任した後、今年1月にアグラワルがTwitterの経営陣を揺るがしたとき. ツイッターその後 任命された セティが去った後、暫定的に CISO としてのリー・キスナー。
Twitter は、Zatko の内部告発を、TechCrunch に提供されたものを含むマスコミに向けた声明で、「矛盾と不正確さに満ちた」「虚偽の物語」として却下しました。
アグラワルも これと同じメッセージを送った 以下に含まれる会社の従業員へのメモ。