Voormalig hoofd security Twitter luidt noodklok over beveiliging van platform

[Captain Kirk]

Het voormalige hoofd security van Twitter heeft het Amerikaanse Congres en verschillende federale overheidsinstanties vorige maand gewaarschuwd voor grote misstanden in de beveiliging en privacybescherming van het platform. Zo zouden teveel medewerkers zonder toezicht vergaande controle tot systemen en informatie hebben, worden grote kwetsbaarheden verzwegen en zou Twitter data van gebruikers die hun accounts opheffen niet adequaat verwijderen. Dat meldt CNN vandaag.

Peiter Zatko, alias Mudge, werd eind 2020 hoofd security bij Twitter. Begin dit jaar werd hij wegens "slechte prestaties" ontslagen. Zelf denkt Zatko dat hij is weggestuurd omdat hij grote misstanden in de beveiliging van het platform aan de kaak wilde stellen. Toen hij begon trof Zatko naar eigen zeggen een bedrijf met slechte security practices aan. Zo hadden duizenden medewerkers toegang tot de belangrijkste systemen en draaide de helft van de ongeveer 500.000 servers van Twitter verouderde software.

Verder was Twitter kwetsbaar voor storingen en waren er onvoldoende redundanties en procedures om van crashes in datacenters te herstellen. Ook zou Twitter geen idee hebben hoeveel bots erop het platform actief zijn en geen interesse hebben om dit uit te zoeken, zo stelt Zatko verder. Het voormalige hoofd security claimt ook dat hij onder druk werd gezet om de impact van kwetsbaarheden richting het bestuur te bagatelliseren. Twitter ontkent de aantijgingen van Zatko en stelt dat security en privacy prioriteit bij het bedrijf zijn en er nog veel werk te verrichten is.

Zatko was een lid van de hackersgroep L0pht en het hackerscollectief Cult of the Dead Cow. Hij werkte in 1995 mee aan de eerste onderzoeken naar buffer overflows, toen nog een nieuw soort beveiligingslek. In 1998 getuigde Zatko samen met andere leden van L0pht voor het Amerikaanse Congres over de slechte beveiliging van Amerikaanse overheidssystemen. Ze claimden dat ze het internet binnen 30 minuten uit de lucht konden halen.

Voor zijn overstap naar Twitter was Zatko 'head security' bij betaalverwerker Stripe. Daarvoor werkte hij bij de Motorola Mobility’s Advanced Technology & Projects (ATAP) groep, onderdeel van Google en het Defense Advanced Research and Projects Agency (DARPA) van het Pentagon.

 

bron: https://www.security.nl