El problema de inteligencia extranjera de Twitter CNN

En respuesta a Zatko, quien fue jefe de seguridad de Twitter desde noviembre de 2020 hasta su despido en enero, una combinación de controles de ciberseguridad débiles y falta de juicio ha expuesto repetidamente a Twitter a una gran cantidad de amenazas de inteligencia internacional.Los ejecutivos de Twitter y el actual director ejecutivo, Parag Agrawal, tienen clientes de Twitter. y -Empleados en peligro a sabiendas en busca de ganancias a corto plazo para ceder a las demandas rusas de censura y vigilancia, afirma Zatko. SME solicitó a Twitter comentarios en forma de 50 preguntas separadas en respuesta a la divulgación general, junto con preguntas específicas relacionadas con las afirmaciones descritas en esta historia. Twitter no respondió a las preguntas de SME sobre amenazas de inteligencia internacional, pero un portavoz de la organización dijo que las acusaciones de Zatko están «plagadas de inconsistencias e imprecisiones y carecen de contexto esencial». Exposición de la página ante el Congreso, el Departamento de Justicia y las agencias federales que acusan a la administración de Twitter de encubrir las vulnerabilidades clave de la empresa y de defraudar al público en general. Zatko, un veterano experto en seguridad cibernética que ocupó altos cargos en Google, Stripe y la División de Protección, presentó su divulgación a las autoridades el mes pasado después de meses de intentar sin éxito hacer sonar la alarma dentro de Twitter sobre los riesgos a los que se enfrentaba. Si bien la divulgación al Congreso se editó para omitir detalles confidenciales sobre reclamos de seguridad en todo el estado, se envió un modelo completo adicional con documentación de respaldo al Comité de Inteligencia del Senado y a la División de Seguridad Estatal del Departamento de Justicia en respuesta a la divulgación. La revelación del denunciante afirma que las autoridades estadounidenses proporcionaron a Twitter pruebas especiales poco antes de que Zatko fuera despedido de que al menos uno de sus empleados, tal vez más, trabajaba para la agencia de inteligencia de otra agencia. La divulgación no dice si Twitter respondió a la pista de las autoridades estadounidenses o si la pista era creíble o no. Últimamente, los legisladores han estado preocupados por los gobiernos autoritarios que desvían el conocimiento de los ciudadanos estadounidenses de empresas pirateadas o compatibles; Usar plataformas tecnológicas para influir sutilmente o sembrar desinformación entre los votantes estadounidenses; o explotar la entrada no autorizada para recopilar información sobre críticos de derechos humanos y diversas amenazas percibidas para regímenes no democráticos. Los supuestos errores de Twitter sin duda podrían abrir la puerta a las tres posibilidades. prometió investigar más a fondo las acusaciones. “Twitter tiene un largo historial de auditoría de opciones realmente poco saludables en todo, desde la censura hasta las prácticas de seguridad. Esta es una gran preocupación dada la capacidad de la empresa para influir en el discurso nacional y los eventos internacionales”, dijo Rubio. «Tratamos las críticas con la seriedad que merece y nos preparamos para un estudio adicional». En los meses previos a la invasión rusa de Ucrania, Agrawal, entonces el director de tecnología de Twitter, parecía estar listo para enfrentar al Kremlin para tomar decisiones importantes. concesiones en respuesta a la revelación de Zatko. Agrawal le sugirió a Zatko que Twitter se ajustara a las demandas rusas, lo que conduciría a una censura o vigilancia generalizada, afirma Zatko, recordando una colaboración que tuvo con Agrawal en ese momento. La divulgación no proporciona detalles de lo que recomendó Agrawal. Aunque Rusia aprobó una ley el verano pasado que presionaba a las plataformas tecnológicas para que abrieran puestos de trabajo domésticos en el país o se enfrentaran a posibles prohibiciones publicitarias, una transferencia, dicen los expertos en seguridad occidentales, podría dar a Rusia una mayor influencia sobre las empresas tecnológicas estadounidenses. La propuesta de Agrawal se enmarcó como una opción de desarrollo para los clientes en Rusia, según la divulgación, y aunque el concepto finalmente se descartó, Zatko, sin embargo, lo tomó como una señal alarmante de cuán lejos estaba Twitter desesperado por llegar en respuesta a la divulgación. “El hecho de que el actual CEO de Twitter incluso recomendó convertir a Twitter en cómplices del régimen de Putin es motivo de preocupación sobre los hallazgos de Twitter sobre la seguridad nacional de Estados Unidos”, se lee en la divulgación de Zatko. Supuestamente, la empresa ha aceptado fondos de «empresas de habla china» no identificadas, que ahora tienen acceso a información que, en última instancia, expondría a las personas en China que eluden ilegalmente la censura del gobierno para ver y usar Twitter. poniendo en peligro a los clientes en China», dijo la divulgación. «Se le dijo al Sr. Zatko que, a este nivel, Twitter dependía demasiado del flujo de ingresos como para hacer algo más que intentar expandirlo». público solo dos semanas después de que un ex supervisor de Twitter fuera condenado por espiar para Arabia Saudita, quien presuntamente hizo un mal uso de su acceso a Twitter para filtrar información sobre presuntos disidentes saudíes, junto con sus números de teléfono y direcciones de correo electrónico y supuestamente pasó esa información a las autoridades saudíes. Esta brecha de seguridad, expuesta por primera vez en 2019, subraya la seriedad de las acusaciones de Zatko, que describen a Twitter como una corporación particularmente agujereada con controles de seguridad cibernética sorprendentemente laxos en comparación con sus amigos corporativos. Para poder hacer su trabajo, disponible Aproximadamente la mitad de los empleados de Twitter tienen permisos estrictos que otorgan acceso a conocimiento privado y al dinámico producto de Twitter. En respuesta a la divulgación, Zatko dice que es una desviación importante de los requisitos de otras grandes empresas tecnológicas.La entrada al espacio está estrictamente administrada y los empleados trabajan principalmente en cajas de arena específicas alejadas del producto orientado al consumidor. «Todos los ingenieros» de la empresa, afirma Zatko, «tienen una copia completa del código de entrega patentado de Twitter en sus computadoras portátiles».Twitter ha instruido a las pymes que tratar con códigos de entrega no está fuera de la práctica comercial, y que los grupos de tecnología y productos de Twitter están autorizados a acceder a la plataforma de la empresa si tienen una justificación comercial específica para hacerlo. La compañía explicó además que utiliza revisiones automatizadas para garantizar que las computadoras portátiles con software obsoleto no puedan ingresar al entorno de producción y que los empleados solo puedan realizar cambios en el producto en vivo de Twitter después de que el código haya cumplido con ciertos requisitos de registro y evaluación. La divulgación alega que Twitter ha hecho un esfuerzo para mitigar sus riesgos de seguridad cibernética, ya que es posible que la gerencia no sepa, y rara vez sabe, lo que los empleados pueden estar haciendo en sus sistemas informáticos de trabajo. La información divulgada por Zatko de los paneles internos de seguridad cibernética de Twitter muestra que 4 de cada 10 unidades de trabajo, que representan miles de computadoras portátiles, no tendrían habilitada la protección primaria, comparable a los firewalls y las actualizaciones automáticas de programas de software. Los empleados también pueden instalar programas de software de terceros en sus sistemas informáticos con pocas limitaciones técnicas, según la divulgación, lo que en una serie de eventos supuestamente ha resultado en que los empleados tengan spyware no autorizado instalado en sus dispositivos a instancias de organizaciones al aire libre. En sus respuestas a las pymes, Twitter dijo que los empleados usan unidades supervisadas por varios grupos de seguridad y TI para evitar que una herramienta se conecte a técnicas internas confidenciales cuando se trabaja con software obsoleto. Twitter cuenta con herramientas de seguridad internas que son revisadas, típicamente por la empresa y cada dos años por auditores externos, en respuesta a un único interlocutor durante la permanencia de Zatko en la empresa. La persona agregó que algunas de las estadísticas de seguridad del sistema de Zatko no son creíbles y provienen de un pequeño grupo que no ha considerado adecuadamente los procedimientos de seguridad actuales de Twitter.Zatko afirma que el acceso indebido y la supervisión limitada del comportamiento de los trabajadores crean alternativas a las amenazas internas, como hizo el agente saudí, pero las autoridades saudíes no eran las que buscaban un mayor acceso a las técnicas internas de Twitter. Las autoridades indias han «forzado» Twitter de manera efectiva. Contratar corredores comisionados en su nombre, decía la divulgación, «quienes (debido a las principales fallas arquitectónicas de Twitter) tendrían acceso a grandes cantidades de conocimiento confidencial de Twitter». Twitter ha ocultado esta verdad de sus informes públicos, según la divulgación. Hasta ahora, las autoridades indias han presionado para expandir su control sobre las redes sociales dentro de sus fronteras, discutiendo con Twitter sobre la eliminación de contenido y obligando a las plataformas tecnológicas a autorizar el alquiler y la aplicación de la ley dentro del país, incluso realizando redadas en los lugares de trabajo domésticos de Twitter. El interlocutor personal durante el mandato de Zatko dijo que los intermediarios de las autoridades indias a los que se refiere la divulgación eran, de hecho, los organismos de enlace y aplicación de la ley exigidos por la ley india. Muchas plataformas tecnológicas son empresas internacionales y, en algunos casos, como en el intento de Rusia de lograr que las empresas tecnológicas abran sedes nacionales, sus empleados pueden convertirse en palancas involuntarias para los gobiernos ansiosos por presionar a las empresas. El conocimiento comercial y de los consumidores almacenado o accesible por los sistemas informáticos de los trabajadores podría ser vulnerable al acceso o confiscación por parte de las autoridades nacionales. Los propios trabajadores o sus hogares también podrían ser vulnerables a las amenazas o la coerción. Sin embargo, las pronunciadas vulnerabilidades de seguridad cibernética de Twitter han significado que los trabajos domésticos se hayan convertido en objetivos particularmente candentes, afirma Zatko. India, Nigeria y Rusia han “intentado que Twitter alquile contenido nativo con diversos grados de éxito. [full-time employees] eso podría usarse potencialmente como moneda de cambio”, dijo la divulgación el año pasado sobre un tuit presidencial que se interpretó ampliamente como un riesgo para algunos residentes nigerianos y posteriormente se eliminó de Twitter. Nigeria levantó su prohibición de Twitter en enero después de que el gobierno dijera que la plataforma de redes sociales aprobaba todas sus situaciones. Los casos incluyen el cumplimiento de las pautas legales de «publicación prohibida» de Nigeria. A pesar de las afirmaciones de Twitter de que estaba en negociaciones con Nigeria después de suspender la empresa, Zatko afirma que esas conversaciones de ninguna manera han tenido lugar. Las supuestas tergiversaciones de Twitter sobre su participación en las autoridades nigerianas no solo dañaron a los comerciantes de la compañía, según la divulgación, sino que ciertamente les dieron a los funcionarios nigerianos la oportunidad de exigir concesiones mucho mayores de Twitter de las que la compañía habría existido en cualquier otro caso. Las concesiones en respuesta, según la revelación de Zatko, «violaron el derecho a la libertad de expresión y la responsabilidad democrática de los residentes de Nigeria».

Deja una respuesta

Tu dirección de correo electrónico no será publicada.