Indignatie redactie 
Volgens een klokkenluider zouden de deuren van de korteberichtendienst Twitter wagenwijd openstaan – wat de oprichter Jack Dorsey altijd had ontkend, bijvoorbeeld tijdens een hoorzitting voor het Amerikaanse Congres.
Volgens een klokkenluider is de korteberichtendienst Twitter slordig als het gaat om het beveiligen van zijn systemen. Een gebrek aan bewustzijn van het probleem brengt de privacy van gebruikers in gevaar en misleidt het publiek, aldus voormalig veiligheidschef Peiter “Mudge” Zatko.
Servers vol beveiligingslekken, onbeperkte toegang tot gevoelige gebruikersgegevens door werknemers en lauwe maatregelen tegen spam en desinformatie: dit zijn serieuze beschuldigingen die een voormalig beveiligingschef bij Twitter heeft geuit tegen zijn voormalige werkgever.
De 84 pagina’s tellende klacht van de klokkenluider ligt nu bij de Amerikaanse Securities and Exchange Commission (SEC), de Federal Trade Commission (FTC) en het Amerikaanse ministerie van Justitie. Een gedeeltelijk geredigeerde versie van het document, dat naar het Amerikaanse Congres ging, werd gisteren gepubliceerd door de Washington Post .
Hacker Peiter Zatko, beter bekend als “Mudge”, werd in 2020 ingehuurd door de toenmalige Twitter-CEO Jack Dorsey. Na een ernstig beveiligingsincident waarbij de Twitter-accounts van Joe Biden, Jeff Bezos en andere beroemdheden werden gekaapt, kreeg Zatko de taak om de systemen voor korte berichten te verbeteren.
Blijkbaar kon Zatko niet veel doen: zijn interne waarschuwingen werden genegeerd, zo citeerde de Washington Post verschillende anonieme insiders. Begin dit jaar ontsloeg het nieuwe hoofd van Twitter, Parag Agrawal, de IT-beveiligingsexpert vanwege “zwakke prestaties en leiderschap”.
Regelmatige inbraken
Volgens de klacht heeft Twitter “extreme, buitensporige tekortkomingen” en beschermt het zijn digitale en fysieke systemen, inclusief de privacy van zijn gebruikers, onvoldoende. Volgens Zatko heeft het bedrijf echter publiekelijk tegenstrijdige en misleidende verklaringen afgelegd.
Hiermee overtrad Twitter de Amerikaanse wet- en regelgeving, waaronder een vergelijking met de FTC in 2011. Het bedrijf beloofde destijds betere beveiligingsmaatregelen omdat het zijn systemen onvoldoende had beveiligd tegen aanvallen van hackers.
Dergelijke incidenten haalden meerdere keren de krantenkoppen op Twitter. Accounts van hooggeplaatste politici, mediaorganisaties of bedrijfsbazen werden herhaaldelijk gehackt. Dit stuurde vaak frauduleuze berichten de wereld in: zo deed een nep-tweet van persbureau AP in 2013 de beurs kelderen, schrijft de Washington Post. In andere gevallen zouden beroemdheden cryptocurrency-zwendel of andere duistere producten hebben gepromoot.
Maar de vijand bleef van binnenuit komen. Zo is onlangs een voormalige Twitter-manager veroordeeld die duizenden accounts van vermeende dissidenten in dienst van Saoedi-Arabië bespioneerde . Volgens de klacht van de klokkenluider heeft ongeveer de helft van de 7.000 fulltime medewerkers uitgebreide toegang tot de interne systemen van het sociale netwerk. Hierdoor kunnen gevoelige gebruikersgegevens worden afgetapt of zelfs gewijzigd.
Voedsel gevonden voor aanvallers
Zatko klaagt dat de automatische import van beveiligingsupdates op ongeveer een derde van de bedrijfslaptops wordt geblokkeerd en dat de volledige broncode van de online service op duizenden apparaten te vinden is. Dit maakt ze een begeerd doelwit voor hackeraanvallen – ook omdat Twitter blijkbaar geen testsysteem heeft, maar wijzigingen aan het product direct live worden geschakeld.
Al deze risico’s werden systematisch afgedekt of gebagatelliseerd, aldus de klacht. Als de beschuldigingen kunnen worden bewezen, riskeert het bedrijf boetes in de honderden miljoenen, schat een expert aan de Washington Post.
Er kunnen ook gevolgen zijn in de EU: Twitter kan niet garanderen dat gebruikersgegevens op verzoek volledig worden verwijderd, maar kunnen worden opgeslagen op systemen in een steeds ondoorzichtiger en onveiliger servernetwerk. Dit zou in strijd zijn met de Algemene Verordening Gegevensbescherming van de EU.
De onthullingen kunnen ook impact hebben op het overnamebod van miljardair Elon Musk . Hij verdedigt zich momenteel in de rechtbank tegen de daadwerkelijk vaste aankoop van de online dienst omdat Twitter tegen hem zou hebben gelogen over hoe om te gaan met spam en botaccounts.
Het aantal van dergelijke accounts is een belangrijke maatstaf voor investeerders en adverteerders omdat er geen geld mee te verdienen valt, in tegenstelling tot echte gebruikers die regelmatig door de dienst bladeren.
Volgens Zatko heeft Twitter noch de interesse noch de middelen om het werkelijke aantal van dergelijke accounts te achterhalen. Volgens een niet nader genoemde bron zou een waarheidsgetrouwe verklaring het imago en de beurswaarde van het bedrijf kunnen schaden, aldus de aanklacht.
Openbare verklaringen van het sociale netwerk, die spreken van “proactieve, volwassen systemen” die het aantal bepaalden, lezen echter heel anders. Het zou dus wel eens hoger kunnen zijn dan de ongeveer 5 procent die Twitter elk kwartaal aan de SEC rapporteert.
Publiek debat dankzij klokkenluiders
Twitter zelf ontkende de beschuldigingen. In een brede verklaring vertelde een woordvoerster aan The Washington Post dat de beschuldigingen “doorzeefd waren met onnauwkeurigheden”. Beveiliging en privacy zijn lange tijd topprioriteiten geweest voor het bedrijf. Zatko zou volgens woordvoerster Twitter “opportunistische” schade aanrichten aan zijn klanten en investeerders.
De respectieve autoriteiten onderzoeken nu de beschuldigingen. Zatko geniet van klokkenluidersbescherming: de Amerikaanse Securities and Exchange Commission voert bijvoorbeeld een programma uit dat klokkenluiders bescherming tegen repressie belooft en ook anonieme rapportagemogelijkheden biedt.
Duitsland onderhandelt momenteel over regels voor de bescherming van klokkenluiders . Klokkenluidersorganisaties hebben echter veel kritiek op een eerder bekend concept: klachten kunnen bijvoorbeeld niet veilig en anoniem worden gemeld.
