Twitter'ın eski güvenlik şefinin ifşası gündem oldu

Twitter'ın eski güvenlik şefi Pieter Zatko, geçen ay Amerikan Kongresi ve devlet kurumlarına, şirketin güvenlik açıkları ve ihmallerine dair 200 sayfalık, ifşa niteliğinde bir rapor gönderdi.

Raporda, söz konusu güvenlik açıkları ve ihmallerin ulusal güvenliğe ve demokrasiye tehdit oluşturabilecek nitelikte olduğu öne sürüldü.

Raporun CNN ve The Washington Post tarafından kamuoyuyla paylaşılması üzerine harekete geçen Twitter, yeni güvenlik politikası için çalışmalara başladı.

Twitter'ın kurucusu Jack Dorsey tarafından işe alınan Zatko, ocak ayında "düşük performans ve yetersiz yöneticilik" gerekçesiyle Twitter'dan kovulmuştu.

Zatko ise kovulma nedeninin "şirketin güvenlik sorunlarıyla ilgili uyarılarda bulunması" olduğunu savunuyor.

İDDİALAR NELER?

Zatko, raporunda, şirketin siber güvenlik açıklarının Twitter yönetimi tarafından saklandığını, bunun yabancı casusluk ve yanlış bilgilendirme kampanyalarına zemin hazırlayabileceğini söyledi.

Zatko, Dorsey'in görevini bırakmasının ardından CEO koltuğuna oturan Parag Agrawal için "şirketin siber güvenlikle ilgili durumu hakkında yazılı değil sözlü bilgi paylaşması talimatı verdiği, tam bilgi paylaşmasını engellediği, verilerin seçilerek ve saptırarak sunulmasını istediği, hatta bir danışmanlık firması ile anlaşarak şirketin sorunlarını gizleyen rapor hazırlattığı" iddialarını öne sürdü.

Çok sayıda personelin platformun merkezi kontrollerine erişimi bulunduğunu belirten Zatko, hassas bilgilerin olması gerektiği gibi gözetilmediğini öne sürdü.

Teknisyenlerin platformda değişiklik yapmasına izin veren iç erişim için "üretim ortamı" tanımını kullanan Zatko, "Üretim ortamını korumak imkansızdı. Bütün teknisyenlerin erişimi var. Ortama kimin girdiği ve ne yaptığı belli değil. Kimse verinin nerede bulunduğunu ya da ne kadar kritik olduğunu bilmiyor" dedi.

Şirket çalışanlarının iş bilgisayarlarının güvenlik sorunlarına da değinen Zatko, "Tahminen her 10 cihazın 4'ünde temel güvenlik standartları bulunmuyor" bilgisini paylaştı.

Twitter'ın sunucu altyapısına dair de eleştiri sunan Zatko, şirketteki 500 bin sunucunun neredeyse yarısının eski yazılımlarla çalıştığını ve veri saklama ya da kriptolama gibi temel güvenlik özelliklerini desteklemediğini belirtti.

Zatko ayrıca Twitter'ın hesap kapatan kullanıcılara ait bilgileri de düzgün silmediğini ileri sürdü.

Zatko, raporunda ayrıca Twitter'ın yabancı hükümetlerin istismarına ve ABD ulusal güvenliğini baltalamaya açık olduğunu ileri sürdü. Zatko'ya göre şirket bünyesinde yabancı ajanlar çalışıyor olabilir.

Eski güvenlik şefi, kovulmadan önce, en az 1 çalışanın yabancı bir hükümetin istihbaratı için çalıştığına dair ABD hükümeti tarafından delil sunulduğunu ifade etti.

Zatko'nun raporunun kamuoyuyla paylaşılmasından iki hafta önce eski bir Twitter yöneticisi, Suudi Arabistan'da casusluktan dolayı tutuklanmıştı.

Twitter yöneticilerinin platformda kaç adet bot hesap bulunduğunu anlayabilecek kaynağa sahip olmadıklarını dile getiren Zatko, bunu öğrenmek için çaba gösterilmediğini de ileri sürdü.

Twitter'ı satın almak için yaptığı 44 milyar dolarlık anlaşmadan vazgeçen Elon Musk buna gerekçe olarak bot hesapları öne sürmüştü. Zatko'nun bu açıklamalarının Musk-Twitter davasının hemen öncesine denk gelmesi soru işaretlerine neden oldu.

ŞİRKET, GÜVENLİK POLİTİKASINI DEĞİŞTİRİYOR

Reuters’ın haberine göre Twitter, raporun basına sızmasının ardından güvenlik politikasını değiştirmek için harekete geçti.

Twitter, "Zararlı içerikleri ve sahte hesapları inceleme" adını verdiği iki farklı ekibi birleştirerek HPS olarak adlandıracak.

Oluşturulacak ekibin haziran ayında şirkete katılan, daha önce Amazon ve Google gibi firmalarda çalışmış Ella Irwin tarafından yönetileceği belirtiliyor.

Çalışanlara gönderdiği e-posta ile duyuru yapan Irwin, “Belirli sorunlara odaklanacak, tek bir ekip olarak birlikte çalışacak çalışma arkadaşlarına ihtiyacımız var” dedi.

Twitter CEO’su Parag Agrawal ise çalışanlara gönderdiği e-postada, Zatko'nun iddialarının yanlış ve tutarsız olduğunu savundu.

Agrawal, “Zatko’nun iş akdi Ocak 2022’de etkisiz liderlik ve düşük performans nedeniyle feshedildi. Bununla birlikte Zatko, Twitter’ın gizlilik, güvenlik ve veri koruma konusunda bazı yanıltıcı iddialarda bulundu. Tutarsızlıkla ve yanlış ifadelerle dolu bu iddiayı inceledik. Zatko, iddia ettiği konulardan sorumlu olduğu halde görevini yerine getiremediği için aramızdan ayrıldı" dedi.