Euronews’in haberine gore; Firmanın eski güvenlik şefi Pieter “Mudge” Zatko’nun geçtiğimiz ay Amerikan Kongresi ve devlet kurumlarına gönderilmiş olduğu 200 sayfalık ifşa belgesi niteliğindeki rapor Amerikan basın kuruluşları CNN ve The Washington Post tarafınca kamuoyuyla paylaşıldı. Zatko, raporunda firmanın fena yönetildiğini belirterek bunun yarattığı “kaotik ve tedbirsiz” ortamı tanımladı. Zatko ek olarak firmanın siber güvenlik açıklarının Twitter yönetimi tarafınca saklandığını ve bunun yabancı casusluk ve yanlış bilgilendirme kampanyalarına zemin hazırlayabileceğini iddia etti.
Twitter’ın kurucusu Jack Dorsey tarafınca işe alınan Zatko ocak ayında düşük performans ve yetersiz yöneticilik nedeni öne sürülerek Twitter’dan kovulmuştu. Direkt firmanın tepe yöneticine bağlı olarak çalışan Zatko ise kovulma sebebinin firmanın güvenlik sorunlarıyla ilgili uyarılarda olmasına bağlıyor.
Dorsey’in kasım ayında görevini bırakmasının peşinden icra direktörü koltuğuna oturan firmanın eski baş teknoloji direktörü Parag Agrawal ile Zatko arasındaki ihtilaf, sorunların çıkış noktası olarak gösteriliyor.
Zatko, “Agrawal ve yandaşlarının yönetim kurulu üyelerine firmanın siber güvenlikle ilgili durumu hakkında yazılı değil sözlü data paylaşması emirini verdiğini, tam data paylaşmasını engellediğini, siber güvenlik alanında ilerleme kaydediliyor hissi yaratmak için verileri seçerek ve saptırarak sunmasını istediğini, hatta bir danışmanlık şirketi ile anlaşarak firmanın sorunlarını gizleyen rapor hazırlatmak suretiyle arkasından iş çevirdiklerini” ileri sürüyor.
Zatko’ya gore Twitter’da hangi güvenlik açıkları var?
Yönetimsel ve teknik hatalar
Twitter’ın eski güvenlik şefi Zatko ilk olarak fazlaca sayıda personelin platformun merkezi kontrollerine erişimi bulunduğunu ve kırılgan bilgilerin yetersiz şekilde gözetildiğini ileri sürdü.
Zatko raporunda “üretim ortamı” olarak tanımlanan ve teknisyenlerin platformda değişim yapmasına müsaade eden iç erişimi kısıtlamanın olanaklarını araştırdığını ifade ediyor. Zatko “Üretim ortamını korumak imkansızdı. Tüm teknisyenlerin erişimi var. Ortama kimin girmiş olduğu ve ne yapmış olduğu belli değil. Kimse verinin nerede bulunduğunu ya da ne kadar eleştiri bulunduğunu bilmiyor” ifadelerini kullandı.
Twitter’ın çalışanlarını data güvenliği hatalarından görevli tutma becerisinden yoksun bulunduğunu korumak için çaba sarfeden Zatko firmanın çalışanların iş bilgisayarları üstünde denetim ve görünürlüğünün de olmadığını, iç siber güvenlik raporlarında tahminen her 10 cihazın dördünde temel güvenlik standartlarının bulunmadığını gösterdiğini iddia etti.
Twitter’ın sunucu altyapısının da dayanıksız bulunduğunu ileri devam eden Zatko şirketteki 500 bin sunucunun neredeyse yarısının eski yazılımlarla çalıştığını belirtti ve bundan dolayı veri gizleme ya da sağlayıcılar tarafınca tertipli güvenlik güncellemesi için kriptolama yapma şeklinde temel güvenlik özelliklerin desteklenmediğinin altını çizdi.
Zatko ek olarak Twitter’ın hesap kapatan kullanıcılara ilişkin detayları de muntazam silmediğini ileri sürdü. Bazı durumlarda firmanın bilginin izini kaybettiğini belirten Zatko, düzenleyici kurumlara da bilgilerin gerektiği şekilde silindiğine dair yanıltıcı data verdiğini açıkladı.
Twitter-Musk davası ve iddiaların zamanlaması
Zatko’nun bir öteki iddiası ise botlarla ilgili. Twitter yöneticilerinin platformda kaç tane bot doğrusu otomatik bilgisayar programları tarafınca yönetilen hesap bulunduğunu tam olarak idrak edebilecek kaynağa haiz olmadıklarını dile getiren Zatko, bunu bilmek için bir motivasyonları olmadığını da ileri sürdü.
Botlarla ilgli bilgiler platformu satın almak için yapmış olduğu 44 milyar dolarlık anlaşmadan vazgeçen Elon Musk ile Twitter arasındaki en büyük ihtilaf mevzusu. Zatko’nun bu açıklamalarının Musk-Twitter davasının derhal öncesine denk gelmesi bazı kesimlerde sual işaretlerine niçin oldu.
Nitekim Twitter tarafınca iddialara karşı meydana getirilen açıklamada “Zatko’nun iddiaları ve fırsatçı zamanlaması dikkat çekmek ve Twitter’a, hissedarlarına ve kullanıcılarına zarar vermek için tasarlandığı görünümü veriyor. Güvenlik ve gizlilik Twitter’ın şirket genelindeki önceliğidir ve hala yapmamız ihtiyaç duyulan fazlaca şey var” ifadeleri kullanıldı.
Yabancı tehditlere karşı zayıflık
Zatko, Kurultay ve hükümet kurumlarına sunmuş olduğu raporda Twitter’ın olağandışı şekilde yabancı hükümetlerin istismarına ve Amerikan ulusal güvenliğini baltalamaya açık bulunduğunu ileri sürdü. Zatko’ya gore şirket bünyesinde yabancı ajanlar bile çalışıyor olabilir. Zatko raporunda kovulmadan ilkin Amerikan hükümeti tarafınca minimum bir çalışanın yabancı bir hükümetin istihbaratı için çalıştığına dair kanıt sunduğunu açıkladı.
Zatko’nun raporunun kamuoyuyla paylaşılmasından iki hafta ilkin eski bir Twitter yöneticisi Suudi Arabistan’da casusluktan dolayı tutuklanmıştı.
Twitter’ın eski güvenlik şefi raporunda Rusya’ya ilişkin iddialar da ileri sürdü.
Rusya’nın 24 Şubat’ta Ukrayna’yı işgali öncesinde o dönemde baş teknoloji direktörü olarak çalışan Agrawal’ın kendisine Twitter’ın Rusya’nın taleplerine uymasını önerdiğini iddia eden Zatko önerinin kabul edilmediğini belirtti, sadece firmanın şu anki tepe yöneticisinin Putin rejimine kabahat ortaklığı yapmayı önermesinin bile Amerikan ulusal güvenliğine karşı ne denli büyük kaygı oluşturduğunun altını çizdi.
