Ex-chefe de segurança do Twitter afirma que rede social mente sobre falhas de segurança

O Twitter escondeu práticas de segurança negligentes, enganou os reguladores federais sobre sua segurança e não conseguiu estimar adequadamente o número de bots em sua plataforma, de acordo com o testemunho do ex-chefe de segurança da empresa, o hacker que virou especialista em segurança cibernética, Peiter “Mudge” Zatko. As alegações podem ter enormes consequências, incluindo multas federais e o potencial desvendamento da oferta do CEO da Tesla, Elon Musk, de comprar o Twitter.

Zatko foi demitido pelo Twitter em janeiro e afirma que isso foi uma retaliação por sua recusa em ficar calado sobre as vulnerabilidades da empresa. No mês passado, ele apresentou uma queixa à Securities and Exchange Commission (SEC) que acusa o Twitter de enganar os acionistas e violar um acordo que fez com a Federal Trade Commission (FTC) para manter certos padrões de segurança. Sua queixa, totalizando mais de 200 páginas, foi obtida pela CNN e pelo The Washington Post.

Em entrevista à CNN, o hacker afirmou ingressar no Twitter em 2020 a pedido do então CEO, Jack Dorsey, após a companhia ser atingida por um hack em que contas de personalidades como Barack Obama, Bill Gates e Kanye West foram comprometidos. Zatko diz que entrou no Twitter porque acredita que a plataforma é um “recurso crítico” para o mundo, mas ficou desiludido com a recusa do CEO, Parag Agrawal, em resolver as muitas falhas de segurança da empresa.

“Esse nunca seria meu primeiro passo, mas acredito que ainda estou cumprindo minha obrigação com Jack e com os usuários da plataforma”, disse Zatko ao The Washington Post sobre sua decisão de se tornar um denunciante. “Quero terminar o trabalho para o qual Jack me contratou, que é melhorar a rede social.”

Entre as acusões mais significativas, estão:

Acesso indiscriminado. Uma parte significativa da vulnerabilidade do Twitter é que muitos funcionários têm acesso a sistemas críticos, afirma Zatko. Ele afirma que cerca de metade dos cerca de 7.000 funcionários em tempo integral do Twitter têm acesso a dados pessoais confidenciais dos usuários (como números de telefone) e software interno (para alterar o funcionamento do serviço) e que esse acesso não é monitorado de perto. Ele também alega que milhares de laptops contêm cópias completas do código-fonte do Twitter.

Enganar a FTC. Em 2010, o Twitter acertou acusações com a FTC de que não protegeu as informações pessoais dos consumidores – um exemplo significativo e precoce de reguladores governamentais controlando a Big Tech. A reclamação de Zatko alega que o Twitter fez repetidamente “declarações falsas e enganosas” aos usuários e à FTC, violando este acordo.

Ignorando bots. O Twitter afirmou repetidamente que menos de 5% de seus usuários ativos diários mensais são bots, contas falsas ou spam. A reclamação de Zatko diz que o método do Twitter de medir esse número é enganoso e que os executivos são incentivados (com bônus de até US$ 10 milhões) a aumentar a contagem de usuários em vez de remover bots de spam.

Agentes do governo. O Twitter é uma ferramenta fundamental para compartilhar notícias e organizar protestos, tornando-se um alvo maduro para governos que buscam reprimir a dissidência. A queixa de Zatko afirma que ele acredita que o governo indiano forçou o Twitter a contratar um agente do governo, que então teve “acesso a grandes quantidades de dados confidenciais do Twitter”.

Falha ao excluir. O documento afirma que o Twitter, no passado, não conseguiu excluir os dados dos usuários quando solicitados porque esses registros estão espalhados muito amplamente entre os sistemas internos para serem rastreados adequadamente. Um funcionário atual disse ao The Washington Post que a empresa acabou de concluir um projeto, conhecido como Project Eraser, para garantir a exclusão adequada dos dados do usuário.

Em resposta ao hacker, o Twitter acusou seu ex-chefe de segurança de sensacionalismo e apresentação seletiva de informações. Um porta-voz disse à CNN:

“Zatko foi demitido de seu cargo de executivo sênior no Twitter por mau desempenho e liderança ineficaz há mais de seis meses. Embora não tenhamos acesso às alegações específicas mencionadas, o que vimos até agora é uma narrativa sobre nossas práticas de privacidade e segurança de dados repleta de inconsistências e imprecisões e carece de contexto importante. As alegações de Zatko e o momento oportunista parecem projetados para chamar a atenção e causar danos ao Twitter, seus clientes e acionistas. Segurança e privacidade são prioridades de toda a empresa no Twitter e ainda temos muito trabalho pela frente.”

A FTC já está atualmente analisando a reclamação, de acordo com fontes citadas pelo The Washington Post, e provavelmente cobrará multas significativas contra o Twitter se as acusações de Zatko forem comprovadas como corretas.

A reclamação também afetará a luta contínua entre Musk e o Twitter. Musk está atualmente tentando se livrar de um acordo de US$ 44 bilhões para comprar a empresa, justificando a decisão com uma acusação de que o Twitter está mentindo sobre o verdadeiro número de contas de bot e spam na plataforma. “Já emitimos uma intimação para Zatko”, disse Alex Spiro, advogado que representa Musk, em comunicado, “e achamos sua saída e a de outros funcionários-chave curiosos à luz do que descobrimos”.

*Com informações da The Verge