Entre las muchas acusaciones condenatorias en la denuncia del denunciante de Twitter recientemente publicada, se encuentra la inquietante revelación de que Twitter no pudo sellar su entorno de producción para protegerse contra posibles amenazas internas en medio del ataque del 6 de enero al Capitolio de EE. UU. El exjefe de seguridad de Twitter, Peiter “Mudge” Zatko, acusó a Twitter de negligencia grave en materia de ciberseguridad en una nueva y amplia denuncia presentada ante la Comisión Federal de Comercio (FTC), la Comisión de Bolsa y Valores de EE. UU. (SEC) y el Departamento de Justicia. Entre las acusaciones que van desde la mala protección de los datos hasta las violaciones de la FTC, la denuncia indica que Twitter carecía de la capacidad de protegerse si alguno de sus propios empleados se rebelaba.
Este problema fue descubierto el 6 de enero, después de que una turba violenta atacara el edificio del Capitolio de los Estados Unidos. Como precaución, Zatko había querido bloquear los sistemas internos de Twitter y descubrió que no era una opción.
Zatko dijo que le preguntó al ejecutivo a cargo de ingeniería cómo Twitter podría sellar su entorno de producción para mantenerlo protegido de cualquier amenaza interna del personal que pudo haber apoyado a los alborotadores. La queja explica que Zatko no quería que ningún empleado accediera o dañara potencialmente el entorno de producción mientras se desarrollaba el ataque al Capitolio.
Lo que descubrió, sin embargo, fue que tal bloqueo no solo era difícil, sino que supuestamente era imposible.
“Todos los ingenieros tenían acceso”, dice la denuncia. “No hubo registro de quién entró en el medio ambiente o qué hizo. Cuando Mudge [Peiter Zatko] Cuando se le preguntó qué se podía hacer para proteger la integridad y la estabilidad del servicio de un ingeniero deshonesto o descontento durante este período de mayor riesgo, se enteró de que básicamente no era nada. No había registros, nadie sabía dónde vivían los datos o si eran críticos, y todos los ingenieros tenían algún tipo de acceso crítico al entorno de producción”, dice la denuncia.
Twitter contrató a Zatko a fines de 2020 para dirigir la división de seguridad luego de un ataque de alto perfil que comprometió las cuentas de Twitter de varias personas de alto perfil, incluidos Joe Biden, Bill Gates y Elon Musk. Durante el tiempo de Zatko en Twitter, el profesional de seguridad afirma haber sido testigo de una empresa que carecía de controles y procedimientos de seguridad básicos, y en la que alrededor de 5000 personas, o la mitad del personal de Twitter en ese momento, habían tenido acceso a “sistemas sensibles de producción en vivo y acceso de usuarios”. data” para hacer su trabajo.
Esto va en contra de los principios estándar de ingeniería y seguridad que normalmente bloquean el acceso a los entornos de producción en vivo. Los ingenieros de empresas tecnológicas del tamaño de Twitter normalmente utilizarían entornos de prueba y datos de prueba, en lugar de datos de clientes en vivo. Twitter no lo hizo, encontró Zatko. En cambio, descubrió que los empleados construyeron, probaron y desarrollaron software nuevo directamente en producción con datos de clientes en vivo y otra información confidencial, dijo. Además, gran parte de este acceso no fue monitoreado ni registrado, indica la denuncia.
Como resultado de la seguridad comprometida de Twitter, Zatko dice que era vulnerable a amenazas internas durante la insurrección del Capitolio.
La denuncia también destaca cómo la falta de registro de Twitter podría haber permitido a los empleados realizar diversas acciones sin ser descubiertos. Los problemas de Twitter relacionados con el registro adecuado ya se conocían gracias a la investigación del Departamento de Servicios Financieros (DFS) del Estado de Nueva York sobre el hackeo del 15 de julio de 2020 a las cuentas de Twitter de empresas de criptomonedas y otras figuras conocidas. DFS había descubierto que Twitter carecía de protecciones de seguridad cibernética adecuadas, incluidos “controles de acceso y gestión de identidad adecuados, y monitoreo de seguridad adecuado”.
Además, la denuncia señala que Twitter no tenía un director de seguridad de la información (CISO) en el momento del hackeo de Twitter de 2020, entonces el hackeo más grande de una plataforma de redes sociales en la historia. Zatko había señalado esto en la denuncia como una de las formas en que Twitter estaba violando sus Orden de consentimiento de la FTC de 2011. (La orden de la FTC se produjo después de que muchos otros incidentes de seguridad en 2009 permitieran a los piratas informáticos tomar el control administrativo de los sistemas de Twitter. Según los términos del acuerdo de la FTC, se ordenó a Twitter que estableciera y mantuviera un programa integral de seguridad de la información que sería evaluado por un auditor externo).
La denuncia afirma que Twitter no tenía ni un CISO ni un ejecutivo versado en ingeniería de privacidad y seguridad de la información cuando fue atacado en 2020, solo unos meses antes del ataque al Capitolio. La compañía había perdido a su anterior jefe de seguridad, Mike Convertino, en diciembre de 2019 después de que se fue para unirse a Arceo, una firma de resiliencia cibernética. Twitter no trajo un reemplazo hasta finales de septiembre de 2020, cuando contrató a Rinki Sethi, anteriormente de la empresa de gestión de datos en la nube Rubrik, para que se desempeñara como CISO. Eso significó que Twitter pasó buena parte del año previo al 6 de enero sin un director de seguridad de la información.
Zatko luego se unió a Twitter en noviembre de 2020 para dirigir la seguridad.
En ausencia de un CISO, Parag Agrawal, entonces director de tecnología de Twitter, ahora director ejecutivo, fue el tomador de decisiones clave para corregir las vulnerabilidades de seguridad expuestas por el hackeo de Twitter de 2020, según la denuncia.
Más tarde, tanto Zatko como Sethi estaban entre los que Deja la compañia cuando Agrawal sacudió el liderazgo ejecutivo de Twitter en enero de este año después de asumir el cargo de director ejecutivo tras la salida de Jack Dorsey en noviembre de 2021. Twitter entonces fijado Lea Kissner como CISO de forma interina después de la partida de Sethi.
Twitter ha descartado la denuncia de Zatko como una “narrativa falsa” que está “plagada de inconsistencias e imprecisiones”, en declaraciones hechas a la prensa, incluidas las proporcionadas a TechCrunch.
Agrawal también ha envió este mismo mensaje en un memorando a los empleados de la compañía, incluido a continuación.