Sonsuz Ark/ Evrensel Çerçeveye Yolculuk
‘Egregious Deficiencies,’ Bots, and Foreign Agents: The Biggest Allegations From the Twitter Whistleblower
Twitter'ın eski üst düzey güvenlik yetkilisi, şirket yöneticilerinin gizlilik ve güvenlikteki "korkunç eksiklikler" yoluyla ulusal güvenliği tehlikeye attığını ve kullanıcıları, yönetim kurulu üyelerini, yatırımcıları ve hükümet yetkililerini bu güvenlik açıkları hakkında sistematik olarak yanlış yönlendirdiğini iddia etti.
Peiter “Mudge” Zatko, 2016 yılında evde. Cole Wilson
Eski yetkili, Peiter “Mudge” Zatko, ünlü bir bilgisayar korsanıdır ve ülkenin en iyi siber güvenlik uzmanlarından biridir. Kasım 2020'den, Zatko'nun tekrarlanan güvenlik ihlalleri olduğunu belgelemeye başladıktan sonra ve iddialarına dayanan resmi bir soruşturmada şirketin uyum görevlisiyle birlikte çalıştığı için CEO Parag Agrawal tarafından görevden alındığı Ocak 2022'ye kadar Twitter'ın güvenlik lideri olarak görev yaptı. Zatko, açıklamalarını Temmuz ayında ABD düzenleyici kurumlarına sunarak federal ihbarcı korumasına başvurdu ve bunlar Kongre üyeleriyle paylaşıldı.
TIME'ın incelediği 84 sayfalık açıklamalar ve destekleyici belgelerde, Zatko, 33 milyar dolarlık sosyal medya platformunun üst düzey yöneticilerini, kritik veri güvenliği ve gizlilik sorunları hakkında kullanıcıları, yatırımcıları ve yönetim kurulu üyelerini yanıltarak Federal Ticaret Komisyonu Yasası ile Menkul Kıymetler ve Borsa Komisyonu düzenlemelerini ihlal etmekle suçluyor. Zatko, bu güvenlik açıklarının sık sık ciddi güvenlik ihlallerine, kötü aktörlerin sömürüsüne ve yabancı hükümetlerin sızmasına yol açtığını iddia ediyor.
Belgeler, Zatko'nun Twitter'da yıllarca süren temel güvenlik zaafları olduğunu iddia ettiği ve bunun platformu kötüye kullanıma ve hatta tamamen çöküşe açık hale getirdiğini söylediği şeye ışık tutuyor. Özellikle, açıklamalar, Zatko gelmeden önce güvenlik sorunlarından sorumlu en üst düzey yönetici olan Agrawal yönetiminde sorunların iltihaplanmasına izin verildiğini ima ediyor. Zatko, açıklamada belirtilen Şubat 2022 belgesinde, "Bu sorunlar düzeltilmezse, düzenleyiciler, medya ve platformun kullanıcıları, Twitter'ın ciddi güvenlik temellerinden yoksun olduğunu kaçınılmaz olarak öğrendiklerinde şok olacaklar" diyor.
Açıklamalar, şirketi satın almaktan vazgeçmek isteyen milyarder Elon Musk'a satışa ilişkin yasal anlaşmazlıkta planlanan ilk mahkeme tarihinden birkaç hafta önce yapıldı. Musk, Twitter'ın kendisini ve yatırımcılarını, kullanıcı tabanını oluşturan spam botlarının ve sahte hesapların yüzdesi konusunda yanlış yönlendirdiğini iddia ediyor. Açıklamaların bir parçası olarak gönderilen şirket içi e-postalara göre, Zatko, Musk'ın şirketi satın alma arzusunu kamuya açıklamasından aylar önce Twitter'ın iddia edilen yanlışlarını belgelemeye başladı. Musk'ın Twitter'ı satın almak için yaptığı ilk anlaşmadan vazgeçmesi gerekip gerekmediğine ilişkin dava, 17 Ekim'de Delaware'de başlayacak.
Zatko, Twitter yöneticilerini Musk'a, hissedarlara ve Twitter kullanıcılarına "botlar hakkında yalan söylemekle" suçluyor ve platformun izin verdiğinden çok daha fazla spam hesabına sahip olduğunu ve yöneticilerin bunları düzgün bir şekilde saymaktan caydırıldığını çünkü bunun ekstra kazançlarını olumsuz etkileyeceğini iddia ediyor.
Bir Twitter sözcüsü, şirketin Zatko'nun iddialarını tam olarak görmediğini, ancak ana iddialarının reddettiğini söyledi. Twitter sözcüsü TIME'a verdiği demeçte, "Bay Zatko, altı ay önce düşük performansı ve etkisiz liderliği nedeniyle Twitter'daki üst düzey yönetici rolünden kovuldu" dedi. "Yansıtılan belirli iddialara erişimimiz olmasa da, şimdiye kadar gördüğümüz, gizlilik ve veri güvenliği uygulamalarımız hakkında tutarsızlıklarla ve yanlışlıklarla dolu ve önemli bağlamdan yoksun bir anlatı. Bay Zatko'nun iddiaları ve fırsatçı zamanlaması, Twitter'a, müşterilerine ve hissedarlarına dikkat çekmek ve zarar vermek için tasarlanmış görünüyor. Güvenlik ve gizlilik, Twitter'da uzun süredir şirket genelindeki öncelikler olmuştur ve önümüzde hâlâ yapılacak çok iş var."
Zatko'nun açıklamaları, sosyal medya şirketinin yöneticilerinin SEC dosyalamalarında “maddi yanlış beyanlar ve ihmaller” yaparak menkul kıymetler kanunu ihlalleri yaptığını ve güvenlik açıklarını en aza indirerek yönetim kurulunu yanlış yönlendirmesini istediğini iddia ediyor. Zatko ayrıca Twitter'ın çok sayıda çalışanın sistemlerine "Tanrı modu" erişimine izin veren, platformu bilgisayar korsanlarına ve yabancı istihbarat teşkilatlarının etkisine karşı savunmasız hale getiren temel mimari kusurlarla kuşatıldığını söylüyor. Açıklamaları, Twitter yöneticilerinin Hindistan hükümeti ajanı olduğuna inandığı iki kişiyi işe aldığını ve onları dahili Twitter verilerine ve bilgilerine "doğrudan denetimsiz erişim" sağlayan pozisyonlara yerleştirdiğini iddia ediyor. Bu, Twitter'ın “yabancı hükümetlerin sızma, kontrol etme, sömürme çabalarına ilişkin ihmalinin ve hatta suç ortaklığının sadece bir örneğiydi.
Şirkete yakın bir kaynak, Zatko'nun görevden ayrıldığı sıralarda iddialarının "araştırıldığını ve sansasyonel olduğu ve doğruluktan yoksun olduğu anlaşıldı" diyor. “Mudge, ifşasında her şeyin içindedir ve etkili ve etik liderlik kariyeri kendisi için konuşuyor. Zatko'yu temsil eden Whistleblower Aid'den John Tye, odak noktası, ifşaatta ortaya konan gerçeklere yönelik olmalı, ihbarcıya yönelik ad hominem saldırılara değil" diyor.
İlk olarak Washington Post ve CNN tarafından yayınlanan ve TIME'ın bir kongre kaynağından edindiği Zatko'nun açıklamaları, ABD Menkul Kıymetler ve Borsa Komisyonu'na, Federal Ticaret Komisyonu'ndaki Tüketici Koruma Bürosu'na ve Adalet Bakanlığı'nın hukuk ve antitröst bölümlerine gönderildi ve yeniden düzenlenmiş bir versiyon Kongre ile paylaşıldı. Temsilciler Meclisi Enerji ve Ticaret Komitesi, yasa koyucuların önemli bir veri gizliliği faturası hazırlamasından ve FTC'nin veri gizliliği korumalarını gözden geçirme çabası başlatmasından haftalar sonra ortaya çıkan belgeleri inceliyor. CNN'e göre Senato Yargı Komitesi de Zatko'nun iddialarını soruşturmayı planladığını ve Senato İstihbarat Komitesi onunla bir toplantı ayarlamak istediğini belirtti. Kıdemli bir Demokrat personel TIME'a verdiği demeçte, açıklamalar "Twitter'ın düzensiz ve dikkatsiz olduğunu" öne sürüyor ve "sahip oldukları kurumsal ve pratik kontrollerin toplam eksikliğini" vurguluyor. “Suistimal potansiyelinin ne kadar olduğunu gösteriyorlar… ve bu mevzuatla ilgili yaptığımız çalışmaları bilgilendirecek.”
Peiter 'Mudge' Zatko kimdir?
Hacker takma adıyla “Mudge” olarak bilinen 51 yaşındaki Zatko, otuz yıldır ağ güvenliği dünyasının en tanınmış isimlerinden biri. Dijital güvenlik sistemlerindeki zayıflıkları ortaya çıkarmak için büyük teknoloji şirketleri ve federal hükümet tarafından dinlendi. İnternetin ilk günlerinde güvenlik açıklarını açığa çıkardı, hacker kolektifleri L0pht ve Cult of the Dead Cow'da lider roller oynadı ve Google ile Savunma Bakanlığı'nda görev yaptı. Zatko ayrıca Kongre önünde ifade verdi ve ABD Başkanlarına, milletvekillerine ve federal istihbarat teşkilatlarına tavsiye vermek üzere getirildi.
Siber güvenlik firması GreatHorn'un kurucu ortağı ve CEO'su Kevin O'Brien, Twitter onu işe aldıktan sonra Zatko hakkında “Bugün gezegendeki en iyi güvenlik beyinlerinden biri olmaya devam ediyor” dedi.
2020'de Elon Musk ve Joe Biden dahil olmak üzere kullanıcıların hesaplarının ele geçirilmesine yol açan bir Twitter hackinden sonra, Twitter'ın kurucu ortağı ve CEO'su Jack Dorsey, Zatko'ya sosyal medya şirketinin “güvenlik başkanı” olarak geniş bir yetki verdi. Zatko nihayetinde yüzlerce çalışanı denetledi ve yaptığı açıklamalara göre Twitter'ın güvenlik sorunlarını değerlendirme, şirket liderlerine sunma ve bunları düzeltmek için bir strateji geliştirme misyonuna sahipti.
Ancak Twitter'daki zamanı hızlı bir şekilde yoğun geçti. İşte Zatko'nun eski işverenine yönelik en ciddi iddialarından bazıları:
İddia: Twitter, spam botlarını bilerek küçümsüyor
Temmuz ayından bu yana Musk ve Twitter, platformdaki spam botlarının sayısı etrafında dönen yasal anlaşmazlıkta kilitlendiler. Musk, Twitter'daki otomatik spam hesaplarının yüzdesinin, şirketin yıllardır iddia ettiği maksimum %5'ten çok daha yüksek olduğunu ve bu yanlışlığın Musk'a şirketi satın almak için 44 milyar dolarlık bir anlaşmadan geri adım atmasına neden olduğunu savundu.
Musk'ın argümanını destekleyecek şekilde, Zatko'nun açıklamaları Twitter'ın Musk'a botlar hakkında "yalan söylediğini" ve Twitter'daki spam botlarının toplam yüzdesinin Twitter'ın iddia ettiği maksimum %5'ten önemli ölçüde yüksek olduğunu iddia ediyor. Zatko, Twitter'ın platformdaki resmi bot yüzdesine yalnızca "para kazanılabilir günlük aktif kullanıcılar" veya mDAU'lar olarak bilinen bir hesap alt kümesinden örnek alarak ulaştığını söylüyor. Ancak, reklamverenlere reklamlarına kaç gerçek insanın baktığına dair bir fikir vermek için Twitter tarafından oluşturulan bu alt küme, zaten botları hariç tutmaya çalışıyor. Zatko, toplam Twitter hesaplarının yüzde kaçının bot olduğunu bulmaya yönelik kendi dahili girişimlerinin isteksizlikle karşılandığını söylüyor.
Zatko'nun açıklamasına göre, "2021'in başlarında, yeni bir yönetici olarak Mudge, Site Bütünlüğü başkanına (spam ve botnet'ler dahil platform manipülasyonunu ele almaktan sorumlu) altta yatan spam bot sayısının ne kadar olduğunu sordu." “Yanıtları 'gerçekten bilmiyoruz' oldu.”
Zatko ayrıca Twitter yöneticilerinin "platformdaki toplam spam botlarını doğru bir şekilde tespit etmeye veya bildirmeye teşvik edilmediğini" çünkü potansiyel olarak ekstra kazançlarının mDAU sayısını artırmaya "bağlı" olduğunu söylüyor. İstenmeyen posta botlarının gerçek yüzdesinin bilinmesi halinde bunun “şirketin imajına ve değerine zarar vereceğini” öne sürüyor. Şikayette, bir keresinde bir Twitter yöneticisinin şirketin yönetim kurulu üyelerine Twitter'ın büyüyen mDAU lehine “kasten ve bilerek platform sağlığını önceliksiz hale getirdiğini” söylediğine tanık olduğunu iddia ediyor.
Twitter temsilcisi, mDAU ile ilgili yorum taleplerine yanıt vermedi.
İddia: Twitter'da 'ciddi güvenlik temelleri eksikliği' var
Zatko, Twitter'ın dahili güvenlik protokollerinde Google ve Facebook gibi rakiplerinin "onyıllarca gerisinde" olduğunu ve görev süresi boyunca neredeyse her hafta Twitter'da ciddi bir güvenlik ihlali meydana geldiğini iddia ediyor. Bunun kısmen, çok fazla sayıda çalışanın olmaması gereken dahili sistemlere erişimi olduğundan, bu da platformu temel kimlik avı planlarına karşı savunmasız hale getirdiğini savunuyor. Temmuz 2020'de Joe Biden, Barack Obama ve diğer önde gelen isimlerin hesapları, kullanıcılardan 100.000 dolardan fazla Bitcoin çeken bir dolandırıcılığın parçası olarak saldırıya uğradı. Hack, çalışanların kimlik bilgilerini almak için BT departmanının bir üyesi gibi davranan bir genç tarafından planlandı ve ardından bu hesaplara erişmesine izin verdi. Tutuklandı ve kendisine yöneltilen 30 suçlamanın tamamını kabul etti.
Zatko, 6 Ocak'ta Capitol isyanını çevrimiçi olarak izlediğini ve Twitter'ın üst düzey bir yetkilisinden çalışanların dahili sistemlere erişimini kısıtlamasını istediğini söylüyor. Bunun imkansız olduğunu öğreniyor: çok fazla çalışanın geri alınamaz erişimi vardı. Zatko, doğru sistem ayrıcalıklarına sahip bir haydut mühendisin platformu sabote ederek yanlış bilgi ve anlaşmazlık yaratabileceğini iddia ediyor. Örneğin, Başkan Trump'ın hesabından olduğu iddia edilen birkaç yanlış tweet, şiddeti tırmandırabilirdi.
Şirkete yakın bir kaynak, çalışanların dahili sistemlere ve veri platformlarına erişmek için bir "iş gerekçesi" olması gerektiğini söyledi.
Zatko ayrıca Twitter'ın veri merkezlerinin karmakarışık olduğunu, eski işletim sistemleriyle çalıştığını ve yanlış yedeklendiğini söylüyor. Zatko, 2021 baharında şirketin tüm veri merkezlerini devre dışı bırakabilecek ve tüm platformu kalıcı olarak kapatabilecek feci bir başarısızlıktan kıl payı kurtulduğunu söylüyor. Zatko, Twitter mühendislerinin sorunları çözmek için günün her saatinde çalıştığını ve olayın hiçbir zaman kamuya açıklanmadığını söylüyor. Twitter temsilcisi, bu iddia edilen olayla ilgili yorum talebine yanıt vermedi. (Platform, 16 Nisan 2021'de yaygın kesintiler yaşadı.)
İddia: Twitter yatırımcıları ve hükümeti yanılttı
Zatko, bu güvenlik eksikliklerinin farkında olmanın "Twitter'ın işinin doğru değerlendirilmesi için temel" olduğunu ve bu sorunları yatırımcılardan ve yönetim kurulundan gizlemenin "önemli ölçüde yanıltıcı" olduğunu iddia ediyor. Ayrıca Twitter'ın, Musk'ın şirketi satın alma teklifine yanıt olarak SEC dosyalamaları da dahil olmak üzere, hükümeti başka şekillerde bilerek yanlış yönlendirdiğini iddia ediyor. Örneğin, bu başvurularda Twitter, fikri mülkiyet haklarını bilerek ihlal etmediğini beyan ediyor; ancak Zatko, Twitter'ın, Twitter'ın temel algoritmik modellerini oluşturmak için kullanılan eğitim materyali için uygun yasal hakları hiçbir zaman elde etmediğini ve bu haklara sahip olmak isteyen yöneticilerin birden fazla ülkedeki düzenleyicileri yanlış yönlendirdiğini iddia ediyor. Zatko ayrıca, Twitter'ın 2011 FTC yetkisinin ardından geliştirmeyi vaat ettiği iç güvenlik önlemlerinin henüz uygulanmadığını ve yöneticilerin Twitter'ın yönetim kurulunu onları oluşturma konusundaki ilerlemeleri konusunda yanlış yönlendirdiğini iddia ediyor, (Zatko, bu durumu yönetim kuruluna bildirdiğinde, bir yöneticiden bunu yaptığı için kendisini azarlayan öfkeli bir telefon aldığını söylüyor.)
Şirkete yakın bir kaynak, Zatko'nun şirketin FTC ile yaptığı anlaşmaları anlamadığını ve Twitter'ın düzenleyici yükümlülüklere uyumu hakkında “yanlış iddialarda” bulunduğunu söylüyor.
İddia: Twitter, yabancı devlet ajanlarının verilere erişmesine izin verdi
Zatko, şirketin güvenlik gecikmelerinin yalnızca bireysel kullanıcılara zarar vermediğini söylüyor. Bunların ulusal güvenlik ve jeopolitik öneme sahip meseleler olduğunu iddia ediyor. Twitter “demokratik yönetişime yönelik tehditlerde suç ortağı” diye yazıyor.
Zatko'nun iddialarından biri, şirketin Hindistan hükümeti ajanı olduğuna inandığı iki kişiyi işe almasıydı. Zatko, Twitter'ın kusurlu iç güvenlik sistemleri nedeniyle, sözde ajanların iç bilgilere “doğrudan denetimsiz erişime” sahip olduğunu söylüyor. Zatko, Adalet Bakanlığı Ulusal Güvenlik Bölümü bünyesindeki Karşı İstihbarat ve İhracat Kontrolleri Birimi ve Senato İstihbarat Seçici Komitesi ile bu ve diğer olayları ayrıntılandıran ayrı bir açıklama yaptığını söyledi.
Şirkete yakın bir kaynak, şirketin Twitter'da çalışan devlet görevlileri hakkında hiçbir bilgisinin olmadığını söylüyor.
Zatko, Agrawal'ın - CEO'luğa terfisinden birkaç ay önce - ülkenin sansür ve gözetim taleplerine uymak anlamına gelse bile, Twitter'ın Rusya'ya genişlemesini savunduğunu iddia ediyor. Zatko ayrıca 2022'de ABD hükümetinin Twitter'a çalışanlarından en az birinin yabancı bir istihbarat teşkilatı için çalıştığını söylediğini de yazıyor. Twitter'ın nasıl yanıt verdiğini söylemiyor.
Bu ayın başlarında, eski bir Twitter çalışanı, yabancı bir hükümetin ajanı olarak hareket etmekten, Suudi muhaliflerini gözetlemekten ve Suudi hükümetine kişisel bilgilerini aktarmaktan suçlu bulundu.
İddia: Jack Dorsey her seferinde 'günlerce veya haftalarca' sessiz kaldı
Zatko, 2021'de Dorsey'i desteklemek için tweet atarken, şimdi Twitter'ın kurucu ortağı ve eski CEO'sunun 2021'de "ciddi bir odak kaybı" yaşadığını iddia ediyor. Dorsey'in toplantılara ara sıra katıldığını ve Twitter'da "günler veya haftalar" boyunca sessiz kaldığına dair söylentilerin yayıldığını söylüyor. (Dorsey, sessiz vipassana meditasyonunun bir savunucusudur.)
Kasım ayında Twitter CEO'luğu görevinden ayrılan ve aynı zamanda ödeme platformu Block'un CEO'su olan Dorsey, başlangıçta Zatko'ya geniş bir yetki vermiş olsa da, Zatko, ihbarcı açıklamasında kendini çaresiz hissettiğini söylüyor: Açıklamada, "8.000'den fazla çalışanın riskli davranışlarını ve tüm şirket kültürünü temelden değiştirme görevi için gerçek anlamda çok az destek alıyordu veya hiç destek almıyordu" denildi.
Zatko, birkaç kez, Twitter'ın sorunlarının boyutunu yönetim kurulunun önünde bastırması talimatını aldığını iddia ediyor. Twitter'ın kapsamlı güvenlik açıklarını ve dezenformasyonla mücadeledeki başarısızlığını vurgulayan bağımsız bir araştırma talep ettikten sonra, üst düzey yöneticiler, bulguların kamuoyu tarafından bilinmesinin Twitter'ın itibarı üzerindeki etkisinden endişe duydular ve şirkete en çok zarar veren kısımları çıkardılar.
İddia: Parag Agrawal, Zatko'yu yatırımcıları yanlış yönlendirmeye teşvik etti
Zatko, özellikle Agrawal'ın Zatko gelmeden önce güvenlik sorunlarından sorumlu en üst düzey yönetici olduğu göz önüne alındığında, Agrawal ile ilişkisinin başından beri gergin olduğunu söylüyor. Agrawal, Dorsey'in yerini aldığında, Agrawal'ın görev süresinin ilk yönetim kurulu toplantısını güvenlik sorunlarının ciddiyetini azaltmak için kullanacağından endişe duyduğunu söyleyen Zatko'ya göre, gerilimler hızla tırmandı. 15 Aralık'ta Agrawal'a, yaklaşmakta olan bir sunum için hazırladığı materyallerinde “çok sayıda ve bazı önemli yanlış beyanlar” olduğunu savunarak yazdı.
Ancak Agrawal'ın onu başından savdığını ve ertesi gün belgelerin üst düzey bir Risk Komitesi toplantısında sunulduğunu söylüyor. 4 Ocak 2022'de Agrawal'a gönderilen bir e-postada Zatko, belgeleri "en kötü ihtimalle sahtekarlık" olarak nitelendirdi ve şunları yazdı: "Burada, Twitter'da belirli hedeflere ulaşmak ve sorunları çözmek için işe alındım. Bunu yapabilmek için şirketteki fiili durumu bl-ilmemiz gerekiyor.”
Şirkete yakın bir kaynak, "Zatko, toplantı sırasında bu bilgilerin paylaşılmasını önlemek veya herhangi bir yanlışlığı düzeltmek için her fırsata sahipti" dedi. "Birçok durumda, Zatko yanlış bilgi kaynağıydı."
Zatko'nun e-postasından birkaç gün sonra Agrawal, Zatko'ya şirketin iddialarıyla ilgili bir iç soruşturma başlattığını söyleyerek yanıt verdi. Zatko'dan bir araya getirmeye başladığı iddialarını desteklemek için ayrıntılı bir rapor istendi. Ancak iki haftadan kısa bir süre sonra, raporu dosyalayamadan kovuldu. Agrawal, kamuya açık olarak, kararın "kuruluşun nasıl yönetildiğine ve en öncelikli iş üzerindeki etkisine ilişkin bir değerlendirmeden" kaynaklandığını yazdı.
Andrew R. Chow, Vera Bergengruen, Billy Perrigo, 23 Ağustos 2022, Time
Seçkin Deniz, 05.09.2022, Sonsuz Ark, Çeviri, Çeviri ve Yansımalar
- Sonsuz Ark'ta yayınlanan yazılardan yazarları sorumludur.
- Sonsuz Ark linki verilerek kısmen alıntı yapılabilir.
- Sonsuz Ark yayınları Sonsuz Ark manifestosuna aykırı yayın yapan sitelerde yayınlanamaz.
- Sonsuz Ark Yayınlarının Kullanımına İlişkin Önemli Duyuru için lütfen tıklayınız.