Reconocido hacker y ex-empleado dice que "Twitter tiene medidas de seguridad deficientes"

Twitter tiene importantes problemas de seguridad que representan una amenaza para la información personal de sus propios usuarios, para los accionistas de la empresa, para la seguridad nacional y para la democracia, según una revelación explosiva de un denunciante obtenida exclusivamente por CNN y The Washington Post.

El denunciante, que accedió a ser identificado públicamente, es Peiter "Mudge" Zatko (aka @dodmudge), quien anteriormente fue el jefe de seguridad de la empresa y reportaba directamente al director ejecutivo. Zatko alega además que el liderazgo de Twitter ha engañado a su propia junta y a los reguladores gubernamentales sobre sus vulnerabilidades de seguridad, incluidas algunas que supuestamente podrían abrir la puerta al espionaje o la manipulación extranjeros, la piratería y las campañas de desinformación.

"Mudge" es un experto en seguridad de redes, programador de código abierto, escritor y hacker. Fue el miembro más destacado del grupo de expertos de hackers de alto perfil L0pht, así como del conociodo grupo Cult of the Dead Cow.

Mientras estuvo involucrado con L0pht, Mudge contribuyó a la divulgación y educación sobre vulnerabilidades y fue pionero en trabajos sobre desbordamiento de búfer, inyección de código, condición de carrera, ataque de canal lateral, explotación de sistemas integrados y criptoanálisis de sistemas comerciales. Fue el autor original del software de descifrado de contraseñas L0phtCrack.

En 2010, Mudge aceptó un puesto como gerente de programa en DARPA, donde supervisó la investigación de seguridad. En 2013, Mudge comenzó a trabajar para Google en su división de Proyectos y tecnología avanzada y en 2020, fue contratado como jefe de seguridad de Twitter.

La divulgación, enviada el mes pasado al Congreso y las agencias federales, pinta una imagen de un ambiente caótico e imprudente en una empresa mal administrada que permite que demasiados miembros de su personal accedan a los controles centrales de la plataforma y a la información más confidencial sin la supervisión adecuada. También alega que algunos de los ejecutivos más importantes de la compañía han estado tratando de encubrir las vulnerabilidades graves de Twitter y que uno o más empleados actuales pueden estar trabajando para un servicio de inteligencia extranjero.

El denunciante también alega que Twitter no elimina de manera confiable los datos de los usuarios después de que cancelan sus cuentas, en algunos casos porque la empresa ha perdido el rastro de la información y que ha engañado a los reguladores sobre si elimina los datos como se requiere. El denunciante también dice que los ejecutivos de Twitter no tienen los recursos para comprender completamente la verdadera cantidad de bots en la plataforma y no estaban motivados para hacerlo. Los bots se han convertido recientemente en el centro de los intentos de Elon Musk de retractarse de un acuerdo de $44 mil millones para comprar la compañía (aunque Twitter niega las afirmaciones de Musk).

Zatko fue despedido por Twitter en enero por lo que, según la compañía, fue un desempeño deficiente. Según Zatko, su denuncia pública se produce después de que intentara señalar las fallas de seguridad al directorio de Twitter y ayudar a Twitter a corregir años de deficiencias técnicas y supuesto incumplimiento de un acuerdo de privacidad anterior con la Comisión Federal de Comercio. Zatko está siendo representado por Whistleblower Aid, el mismo grupo que representó a la denunciante de Facebook Frances Haugen.

John Tye, fundador de Whistleblower Aid y abogado de Zatko, le dijo a CNN que Zatko no ha estado en contacto con Musk y dijo que Zatko comenzó el proceso de denuncia antes de que hubiera algún indicio de la participación de Musk en Twitter.

Después de la publicación inicial de este artículo, Alex Spiro, un abogado de Musk, le dijo a CNN: "Ya emitimos una citación para el Sr. Zatko, y su salida y la de otros empleados clave nos pareció curiosa a la luz de lo que hemos encontrado".

En un comunicado, un portavoz de Twitter le dijo a CNN que la seguridad y la privacidad son prioridades desde hace mucho tiempo para la empresa. Twitter también dijo que la compañía proporciona herramientas claras para que los usuarios controlen la privacidad, la orientación de los anuncios y el intercambio de datos, y agregó que ha creado flujos de trabajo internos para garantizar que los usuarios sepan que cuando cancelan sus cuentas, Twitter las desactivará e iniciará un proceso de eliminación. Twitter se negó a decir si normalmente completa el proceso.

Algunas de las afirmaciones más condenatorias de Zatko surgen de su relación aparentemente tensa con Parag Agrawal, el ex director de tecnología de la compañía que se convirtió en director ejecutivo después de que Jack Dorsey renunció en noviembre pasado. De acuerdo con la divulgación, Agrawal y sus lugartenientes desanimaron repetidamente a Zatko de proporcionar una explicación completa de los problemas de seguridad de Twitter a la junta directiva de la empresa. El equipo ejecutivo de la compañía supuestamente le ordenó a Zatko que proporcionara un informe oral de sus hallazgos iniciales sobre la condición de seguridad de la compañía a la junta en lugar de un informe escrito detallado, le ordenó a Zatko que presentara a sabiendas datos seleccionados y tergiversados ​​para crear la falsa percepción de progreso en problemas urgentes de seguridad cibernética, y fue a espaldas de Zatko para que se borrara el informe de una firma consultora externa para ocultar el verdadero alcance de los problemas de la compañía.

La divulgación es generalmente mucho más amable con Dorsey, quien contrató a Zatko y quien Zatko cree que quería ver solucionados los problemas dentro de la empresa. Pero lo describe como extremadamente desconectado en sus últimos meses al frente de Twitter, tanto que algunos altos funcionarios incluso consideraron la posibilidad de que estuviera enfermo.

Una persona familiarizada con el mandato de Zatko en Twitter le dijo a CNN que la compañía investigó varios reclamos que presentó en el momento en que fue despedido y, finalmente, los encontró poco convincentes; la persona agregó que Zatko a veces no comprendía las obligaciones de la FTC de Twitter. Zatko cree que su despido fue en represalia por dar la voz de alarma sobre los problemas de seguridad de la empresa.

La mordaz divulgación, que tiene un total de alrededor de 200 páginas, incluidas las exhibiciones de apoyo, se envió el mes pasado a varias agencias gubernamentales de EE.UU. y comités del Congreso, incluida la Comisión de Bolsa y Valores, la Comisión Federal de Comercio y el Departamento de Justicia. La existencia y los detalles de la divulgación no han sido informados previamente. CNN obtuvo una copia de la divulgación de un alto asesor demócrata en Capitol Hill. La SEC, el DOJ y la FTC se negaron a comentar; el Comité de Inteligencia del Senado, que recibió una copia del informe, está tomando en serio la divulgación y está organizando una reunión para discutir las acusaciones, según Rachel Cohen, una portavoz del comité.

El senador Dick Durbin, quien preside el Comité Judicial del Senado y también recibió el informe, prometió investigar "y tomar las medidas necesarias para llegar al fondo de estas acusaciones alarmantes".

El senador Chuck Grassley, el principal republicano del mismo panel y un ávido usuario de Twitter, también expresó su profunda preocupación por las acusaciones en un comunicado a CNN. "Tome una plataforma tecnológica que recolecte cantidades masivas de datos de usuarios, combínela con lo que parece ser una infraestructura de seguridad increíblemente débil e infundíela con actores de estados extranjeros con una agenda, y tendrá una receta para el desastre", dijo Grassley. "Las afirmaciones que he recibido de un denunciante de Twitter plantean serias preocupaciones de seguridad nacional, así como problemas de privacidad, y deben investigarse más a fondo".

El Denunciante

Zatko llamó la atención nacional por primera vez en 1998 cuando participó en las primeras audiencias del Congreso sobre ciberseguridad. 

Los eventos que llevaron a su decisión de convertirse en denunciante comenzaron antes de que trabajara en Twitter, con un devastador hackeo en 2020 en el que las cuentas de Twitter de algunas de las personas más famosas del mundo, incluido el entonces candidato presidencial Joe Biden, el expresidente Barack Obama, Kim Kardashian y Musk, estaban comprometidos. Twitter le dijo a CNN que, en respuesta al incidente, la compañía comenzó a compartimentar el acceso a las herramientas de atención al cliente.

Lo que Zatko dice que encontró fue una empresa con prácticas de seguridad extraordinariamente deficientes, que incluyen dar a miles de empleados de la empresa, que representan aproximadamente la mitad de la fuerza laboral de la empresa, acceso a algunos de los controles críticos de la plataforma. Su divulgación describe sus hallazgos generales como "deficiencias atroces, negligencia, ignorancia deliberada y amenazas a la seguridad nacional y la democracia".

A Zatko le preocupaba la posibilidad de que alguien dentro de Twitter que simpatizara con los insurrectos pudiera intentar manipular la plataforma de la empresa, según su divulgación. Trató de restringir el acceso interno que permite a los ingenieros de Twitter realizar cambios en la plataforma, conocida como el "entorno de producción".

Pero, dice la divulgación, Zatko pronto se dio cuenta de que "era imposible proteger el entorno de producción. Todos los ingenieros tenían acceso. No se registraba quién entraba en el entorno o qué hacían... Nadie sabía dónde vivían los datos o si era crítico, y todos los ingenieros tenían algún tipo de acceso crítico al entorno de producción". Twitter también carecía de la capacidad de responsabilizar a los trabajadores por fallas en la seguridad de la información porque tiene poco control o visibilidad de las computadoras de trabajo individuales de los empleados, afirma Zatko, citando informes internos de ciberseguridad que estiman que 4 de cada 10 dispositivos no cumplen con los estándares básicos de seguridad.

La endeble infraestructura del servidor de Twitter es una vulnerabilidad separada pero igualmente grave, afirma la divulgación. Alrededor de la mitad de los 500.000 servidores de la empresa funcionan con un software obsoleto que no es compatible con las funciones básicas de seguridad, como el cifrado de los datos almacenados o las actualizaciones periódicas de seguridad de los proveedores, según la carta a los reguladores y un correo electrónico de febrero que Zatko le escribió a Patrick Pichette, un miembro de la board de Twitter.

La compañía también carece de redundancias y procedimientos suficientes para reiniciar o recuperarse de fallas en el centro de datos, dice la divulgación de Zatko, lo que significa que incluso las interrupciones menores de varios centros de datos al mismo tiempo podrían desconectar todo el servicio de Twitter, quizás para siempre.

Twitter no respondió a las preguntas sobre el riesgo de interrupciones del centro de datos, pero le dijo a CNN que las personas en los equipos de ingeniería y productos de Twitter están autorizadas para acceder al entorno de producción si tienen una justificación comercial específica para hacerlo. Los empleados de Twitter usan dispositivos supervisados por otros equipos de TI y seguridad con el poder de evitar que un dispositivo se conecte a sistemas internos sensibles si ejecuta un software obsoleto, agregó Twitter.

La compañía también dijo que utiliza verificaciones automáticas para garantizar que las computadoras portátiles que ejecutan software obsoleto no puedan acceder al entorno de producción, y que los empleados solo pueden realizar cambios en el producto en vivo de Twitter después de que el código cumpla con ciertos requisitos de mantenimiento de registros y revisión.

Fuente: CNN

Suscríbete a nuestro Boletín