WASHINGTON (AP) – Het voormalige beveiligingshoofd van Twitter heeft het Congres verteld dat het sociale media-platform geplaagd wordt door een zwakke cyberverdediging die het kwetsbaar maakt voor misbruik door “tieners, dieven en spionnen” en de privacy van zijn gebruikers in gevaar brengt. Peiter ‘Mudge’ Zatko, een gerespecteerd cyberbeveiligingsdeskundige, verscheen dinsdag voor de Senaatscommissie voor justitie om zijn beschuldigingen uiteen te zetten.
“Ik ben hier vandaag omdat de leiding van Twitter het publiek, wetgevers, regelgevers en zelfs zijn eigen raad van bestuur misleidt,” zei Zatko toen hij zijn beëdigde getuigenis begon.
“Ze weten niet welke gegevens ze hebben, waar die zijn en waar ze vandaan komen en dus, niet verrassend, kunnen ze ze ook niet beschermen,” zei Zatko. “Het maakt niet uit wie de sleutels heeft als er geen sloten zijn.”
Zatko zei dat “de leiding van Twitter zijn ingenieurs negeerde,” deels omdat “hun uitvoerende motieven hen ertoe brachten winst boven veiligheid te stellen.”
Zijn boodschap kwam overeen met een boodschap die vorig jaar aan het Congres werd voorgelegd tegen een andere social media gigant, maar in tegenstelling tot die Facebook klokkenluider, Frances Haugen, heeft Zatko geen massa’s interne documenten meegebracht om zijn beweringen te staven.
Zatko was het hoofd van de beveiliging van het invloedrijke platform totdat hij begin dit jaar werd ontslagen. Hij diende in juli een klokkenluidersklacht in bij het Congres, het Ministerie van Justitie, de Federal Trade Commission en de Securities and Exchange Commission. Een van zijn ernstigste beschuldigingen is dat Twitter de voorwaarden van een schikking van de FTC uit 2011 heeft geschonden door ten onrechte te beweren dat het strengere maatregelen had genomen om de veiligheid en privacy van zijn gebruikers te beschermen.
Senator Dick Durbin, een Democraat uit Illinois die aan het hoofd staat van het Judiciary Committee, zei dat Zatko gedetailleerde gebreken noemt “die een directe bedreiging kunnen vormen voor de honderden miljoenen gebruikers van Twitter en voor de Amerikaanse democratie.”
“Twitter is een immens krachtig platform en kan zich geen gapende kwetsbaarheden veroorloven,” zei hij.
Twitter-gebruikers weten niet dat er veel meer persoonlijke informatie wordt vrijgegeven dan zij – of soms zelfs Twitter zelf – beseffen, getuigde Zatko. Hij zei dat “fundamentele systeemfouten” die door technici van het bedrijf naar voren waren gebracht, niet werden aangepakt.
De FTC is “een beetje over haar toeren”, en ver achtergebleven bij Europese tegenhangers, bij het toezicht op het soort privacyschendingen die zich bij Twitter hebben voorgedaan, zei Zatko.
De beweringen van Zatko kunnen ook van invloed zijn op de poging van Tesla-miljardair Elon Musk om zich terug te trekken uit zijn deal van 44 miljard dollar om het sociale platform over te nemen. Musk beweert dat Twitter lange tijd te weinig spambots op zijn platform heeft gerapporteerd en voert dat aan als reden om de deal die hij in april sloot te annuleren.
Veel van Zatko’s beweringen zijn onbevestigd en lijken weinig gedocumenteerde ondersteuning te hebben. Twitter noemt Zatko’s beschrijving van de gebeurtenissen “een vals verhaal vol met inconsistenties en onnauwkeurigheden” en mist belangrijke context.
Eén van de beweringen van Zatko die dinsdag de aandacht van wetgevers trok, was dat Twitter willens en wetens de Indiase regering toestond haar agenten op de loonlijst van het bedrijf te zetten, waar zij toegang hadden tot zeer gevoelige gegevens over gebruikers. Doordat Twitter niet kon bijhouden hoe werknemers toegang hadden tot gebruikersaccounts, was het moeilijk voor het bedrijf om te ontdekken wanneer werknemers misbruik maakten van hun toegang, aldus Zatko.
Zatko beschuldigt het bedrijf ook van misleiding in zijn behandeling van geautomatiseerde spambots, of nepaccounts. Die beschuldiging is de kern van de poging van miljardair magnaat Elon Musk om zich terug te trekken uit zijn 44 miljard dollar kostende deal om Twitter te kopen. Musk en Twitter zijn verwikkeld in een bittere juridische strijd, waarbij Twitter Musk heeft aangeklaagd om hem te dwingen de deal te voltooien. De rechter in Delaware die toezicht houdt op de zaak, oordeelde vorige week dat Musk nieuw bewijsmateriaal in verband met de beschuldigingen van Zatko kan opnemen in de rechtszaak, die op 17 oktober van start zal gaan.
Senator Charles Grassley, de belangrijkste Republikein in de commissie, zei dinsdag dat Twitter CEO Parag Agrawal weigerde te getuigen tijdens de hoorzitting, vanwege de lopende juridische procedure met Musk. Maar de hoorzitting is “belangrijker dan de civiele rechtszaak van Twitter in Delaware,” zei Grassley.
Twitter weigerde commentaar te geven op de opmerkingen van Grassley.
In zijn klacht beschuldigt Zatko Agrawal en andere leidinggevenden en bestuursleden van talloze overtredingen, waaronder het afleggen van “valse en misleidende verklaringen aan gebruikers en de FTC over de veiligheid, privacy en integriteit van het Twitter-platform”.
Zatko, 51, werd in de jaren negentig bekend als pionier in de ethische hackbeweging en werkte later in leidinggevende functies bij een elitaire onderzoekseenheid van het ministerie van Defensie en bij Google. Hij kwam eind 2020 bij Twitter op aandringen van toenmalig-CEO Jack Dorsey.
