WASHINGTON (AP) – Peiter “Mudge” Zatko, de Twitter-klokkenluider die waarschuwt voor veiligheidslekken, privacybedreigingen en lakse controles bij het sociale platform, zal zijn zaak dinsdag voorleggen aan het Congres.
Senatoren die Zatko’s getuigenis voor de Senate Judiciary Committee zullen aanhoren, zijn gealarmeerd door zijn Twitter-beweringen in een tijd van verhoogde bezorgdheid over de veiligheid van machtige techplatforms.
Het is Zatko’s tweede optreden op Capitol Hill, en in sommige opzichten een 21e-eeuwse echo van zijn eerste. In 1998 getuigde hij voor een Senaatspanel samen met andere leden van een hackerscollectief die waarschuwden voor de veiligheidsgevaren van het toen opkomende internettijdperk.
Zatko, een gerespecteerd cyberbeveiligingsdeskundige, was het hoofd beveiliging van Twitter tot hij begin dit jaar werd ontslagen. en beweert dat het invloedrijke sociale platform toezichthouders heeft misleid over zijn cyberverdediging en inspanningen om miljoenen spam of nepaccounts te controleren.
Senator Dick Durbin, de Democraat uit Illinois die voorzitter is van het panel, heeft gezegd dat als de beweringen van Zatko juist zijn, “ze gevaarlijke data-privacy en veiligheidsrisico’s voor Twitter-gebruikers over de hele wereld kunnen laten zien.”
De beschuldigingen van Zatko spelen ook in op de strijd van miljardair magnaat Elon Musk met Twitter. De Tesla CEO probeert onder zijn bod van 44 miljard dollar om het bedrijf te kopen uit te komen; Twitter heeft een rechtszaak aangespannen om hem te dwingen de deal te voltooien. De rechter in Delaware die toezicht houdt op die zaak besliste vorige week dat Musk nieuw bewijs mag toevoegen met betrekking tot Zatko’s beschuldigingen in de rechtszaak die op 17 oktober van start gaat.
De beschuldiging dat Twitter zich bezighield met misleiding in zijn behandeling van geautomatiseerde ‘spambot’ accounts is de kern van Musk’s poging om zich terug te trekken uit de Twitter-deal.
Tegelijkertijd zijn veel van Zatko’s beweringen niet bevestigd en lijken ze weinig gedocumenteerde ondersteuning te hebben. In een verklaring heeft Twitter Zatko’s beschrijving van de gebeurtenissen “een vals verhaal” genoemd.
Dinsdag zullen de aandeelhouders van Twitter ook stemmen over de aanstaande overname van het bedrijf door Musk. De stemming is een soort formaliteit, aangezien de deal in de wacht is gezet terwijl de rechtszaak wordt uitgespeeld. Maar als de maatregel zoals verwacht wordt aangenomen, zou het ook de weg vrijmaken voor een overname door Musk als Twitter de rechtszaak wint.
Zatko heeft ook klachten ingediend bij het ministerie van Justitie, de Federal Trade Commission en de Securities and Exchange Commission. Een van zijn ernstigste beschuldigingen is dat Twitter de voorwaarden van een FTC-schikking uit 2011 heeft geschonden door ten onrechte te beweren dat het strengere maatregelen had genomen om de veiligheid en privacy van zijn gebruikers te beschermen.
De SEC ondervraagt Twitter over hoe het nepaccounts telt op zijn platform. Twitter gebruikt tellingen van zijn vermoedelijk echte gebruikers om adverteerders aan te trekken, wier betalingen goed zijn voor ongeveer 90% van zijn inkomsten. De ‘spambots‘ hebben geen waarde voor adverteerders omdat er geen persoon achter zit.
Het in San Francisco gevestigde Twitter heeft wereldwijd naar schatting 238 miljoen dagelijks actieve gebruikers. Het bedrijf zegt dat het dagelijks 1 miljoen spamaccounts verwijdert.
Zatko’s 84 pagina’s tellende klacht beweert dat hij “extreme, flagrante tekortkomingen” op het platform heeft gevonden, waaronder problemen met “de privacy van gebruikers, digitale en fysieke veiligheid, en de integriteit van het platform/inhoudsmatiging.”
CEO Parag Agrawal en andere topmanagers en bestuursleden worden beschuldigd van het afleggen van “valse en misleidende verklaringen aan gebruikers en de FTC” over deze kwesties. Twitter ontkent deze beweringen en zegt dat Zatko in januari is ontslagen wegens “ineffectief leiderschap en slechte prestaties”. De advocaten van Zatko zeggen dat de bewering over de prestaties vals is.
Twitter heeft ook laten doorschemeren dat de klacht van Zatko bedoeld zou kunnen zijn om de juridische strijd van Musk met het bedrijf te ondersteunen. Twitter noemde de klacht van Zatko “een vals verhaal” dat “vol zit met inconsistenties en onnauwkeurigheden, en belangrijke context mist.”
Het nieuws van Zatko’s klacht dook op 23 augustus op, bijna twee maanden voordat het proces tussen Twitter en Musk zou beginnen. Een van Zatko’s advocaten heeft gezegd “dat hij Elon Musk nooit heeft ontmoet. Hij kent Elon Musk niet. Ze kennen gemeenschappelijke mensen.”
Het bedrijf zegt ook dat het de beveiliging sinds 2020 aanzienlijk heeft aangescherpt.
Enkele van Zatko’s specifieke beschuldigingen:
– Het bedrijf had zo’n slechte cyberbeveiliging dat het gemakkelijk blootgesteld had kunnen worden aan aanvallen van buitenaf of pogingen om de interne gegevens over te hevelen.
– Het ontbrak het bedrijf aan effectief leiderschap, waarbij de topmanagers “opzettelijk onwetend” waren over dringende problemen. Zatko beschreef voormalig CEO Jack Dorsey als “extreem onbetrokken” tijdens de laatste maanden van zijn ambtstermijn, tot het punt waarop hij niet eens wilde spreken tijdens vergaderingen over complexe kwesties. Dorsey trad af in november 2021.
– Dat Twitter willens en wetens de regering van India heeft toegestaan haar agenten op de loonlijst van het bedrijf te zetten, waar ze “directe toegang zonder toezicht” hadden tot zeer gevoelige gegevens over gebruikers.
Er wordt een parallelle maar minder gedetailleerde beschuldiging geuit dat Twitter financiering heeft aangenomen van niet-geïdentificeerde Chinese entiteiten die mogelijk toegang hebben gekregen waardoor zij toegang hadden tot de identiteiten en gevoelige gegevens van Chinese gebruikers die stiekem Twitter gebruiken, dat officieel verboden is in China.
Beter bekend onder zijn hackersnaam “Mudge“, werd Zatko, 51, voor het eerst bekend in de jaren 1990. Hij was het bekendste lid van het in Boston gevestigde collectief L0pht, dat pionierde op het gebied van ethisch hacken en bedrijven als Microsoft voor schut zette wegens slechte beveiliging. Zijn werk zorgde voor bewustwording in de computerwereld, waardoor dergelijke grote bedrijven gedwongen werden om beveiliging serieus te nemen. Hij was medeoprichter van het adviesbureau @Stake, dat later werd overgenomen door Symantec.
Zatko werkte later in leidinggevende functies bij het Defense Advanced Research Projects Agency van het Pentagon en Google. Hij kwam bij Twitter op aandringen van Dorsey eind 2020, hetzelfde jaar dat het bedrijf een beschamend veiligheidslek kreeg met hackers die inbraken op de Twitter-accounts van wereldleiders, beroemdheden en tech-moguls, waaronder Musk, in een poging om hun volgers bitcoin afhandig te maken.
