Zakto はさらに、Twitter には、新しい機能やシステムのアップグレードを実際の製品ソフトウェアでローンチする前にパイロットするための包括的な開発環境やテスト環境がないと主張しています。 その結果、Zatko は、エンジニアが稼働中のシステムと並行して作業し、「商用サービスで直接テストを行い、定期的なサービスの中断につながる」状況について説明しています。 また、文書によると、Twitter の従業員の半数は、不正なアクションを検出したり、望ましくないアクティビティを追跡したりするために、監視なしで稼働中の本番システムとユーザー データに特権的にアクセスしていました。 Zatko の苦情では、Twitter には約 11,000 人のスタッフがいると説明されています。 Twitterによると、現在約7,000人の従業員がいます。
訴状は、セキュリティ インシデント、データ侵害、および危険なユーザー アカウントの乗っ取りに関する Twitter の実績が、これらの不十分なセキュリティ慣行によって説明されていると主張しています。
TwitterのCEO、パラグ・アグラワル氏は「公開された編集済みの主張を見直している」と述べた。 書きました 今朝のTwitterスタッフへのメッセージで。 「私たちは、会社としての誠実さを守り、記録を正すためにあらゆる道を追求します。」
Twitter によると、すべての従業員のコンピューターは集中管理されており、更新プログラムがインストールされていない場合は、IT 部門が更新を強制したり、アクセス制限を課したりできます。 同社はまた、コンピュータが本番システムに接続できるようになる前に、ソフトウェアが最新であることを確認するためのチェックに合格する必要があり、「業務上の正当な理由」を持つ従業員のみが「特定の目的のために」本番環境にアクセスできると述べています。 」
Snapp Automotive の共同設立者で最高技術責任者の Al Sutton は、2020 年 8 月から 2021 年 2 月まで Twitter のスタッフ ソフトウェア エンジニアでした。会社は、開発プラットフォームで管理します。 サットンは、会社を解雇されてから 18 か月間、プライベート リポジトリにアクセスできました。 投稿された証拠 Twitter が GitHub を公開のオープンソース作業だけでなく、内部プロジェクトにも使用していること。 アクセスに関する投稿から約 3 時間以内に、サットンは 報告 取り消されたということです。
「Twitter は Mudge の主張についてかなり無頓着だと思うので、検証可能な例が役に立つかもしれないと思った」と彼は WIRED に語った。 ザトコの告発は、ツイッターでの彼自身の経験に沿っているかどうか尋ねられたとき、サットンは、「ここで言うべき最善のことは、彼の主張を疑う理由がないということだと思う」と付け加えた.
セキュリティ エンジニアと研究者は、運用環境のセキュリティにアプローチするさまざまな方法がある一方で、従業員がユーザー データへの広範なアクセス権を持ち、広範なログを記録せずにコードを展開した場合、概念上の問題があることを強調しています。 アクセスを大幅に制限するアプローチをとる組織もあれば、より広範なアクセスと継続的な監視を組み合わせて使用する組織もありますが、どちらの選択肢も、企業が多額の投資を行う意識的な選択でなければなりません。同社は前者のアプローチに全面的に取り組みました。
「企業がエンジニアに本番システムへのアクセスを許可することについて比較的寛大なポリシーを持っていることは実際にはそれほど珍しいことではありませんが、そうする場合、完了したすべてのことをログに記録することについては非常に厳格です」と、コンサルタント会社 Metzger のマネージング パートナーである Perry Metzger は言います。ダウズウェル & カンパニー。 「マッジは最高の評判を持っていますが、彼は完全に無能だったとしましょう. 彼らにとって簡単なことは、エンジニアが本番システムにアクセスするために使用するロギング システムの技術的な詳細を提供することです。 しかし、マッジが描写しているのは、人々が物事を修正するよりも隠蔽することを好む文化であり、それは少し気がかりです。」
Zatko と、彼を代表する非営利団体である Whistleblower Aid は、火曜日に公開された文書を支持すると述べています。 Whistleblower Aid の CEO である Libby Liu 氏は声明で、「Twitter は世界中の何億人もの人々の生活に多大な影響を与えており、ユーザーと政府に対して安全でセキュアなプラットフォームを提供する基本的な義務を負っています。
しかし今のところ、この申し立ては一連の深刻な懸念を引き起こしているが、それらはすぐに説明されたり、包括的に解決されたりする可能性は低い.