Washington Post, geçen ay Amerikan Kongresine ve federal kurumlara gönderilen bir açıklamayı ele geçirdiğini belirtiyor. Bu açıklama ocak ayında yeni CEO Parag Agrawal tarafından işten çıkarılan Twitter’ın eski yöneticisi Peiter “Mudge” Zatko’dan geliyor. Peiter “Mudge” Zatko, Twitter’da güvenlik şefiydi ve “düşük performans” nedeniyle işten çıkarılmıştı.
Zatko açıklamasında, Twitter’ın yanlış yönetildiğini, kendi kullanıcılarının kişisel bilgilerine, şirket hissedarlarına, ulusal güvenliğe ve demokrasiye tehdit oluşturan büyük güvenlik sorunlarına sahip olduğunu iddia ediyor. Zatko’ya göre, yeterli gözetim olmaksızın çok fazla personelinin platformun merkezi kontrollerine ve en hassas bilgilere erişmesine izin veren kaotik ve pervasız bir ortam mevcut. 1 veya daha fazla mevcut çalışanının bir yabancı istihbarat servisi için çalışıyor olabilirmiş. Zatko’nun raporu, eski bir Twitter yöneticisinin Suudi Arabistan adına casusluk yapmaktan suçlu bulunmasından sadece iki hafta sonra kamuoyuna açıklanıyor.
Zatko ayrıca Twitter liderliğinin kendi yönetim kurulunu ve hükümet düzenleyicilerini, yabancı casusluk veya manipülasyon, bilgisayar korsanlığı ve dezenformasyon kampanyalarına kapı açabileceği iddia edilenler de dahil olmak üzere güvenlik açıkları konusunda yanlış yönlendirdiğini iddia ediyor.
Daha bitmedi; Twitter’ın hesaplarını iptal ettikten sonra, bazı durumlarda şirketin bilgilerin izini kaybettiği için kullanıcıların verilerini güvenilir bir şekilde silmediğini ve verileri gerektiği gibi silip silmediği konusunda düzenleyicileri yanlış yönlendirdiğini söylüyor.
En önemlisi de Twitter yöneticilerinin platformdaki gerçek bot sayısını tam olarak anlayacak kaynaklara sahip olmadığını söylüyor. Malum bu bot sayısı konusu, 44 milyar $’lık satın alım tartışmalarının tam da göbeğinde yer alan ve Elon Musk’ın vazgeçmek için ileriye sürdüğü koz.
Zatko, Facebook muhbiri Frances Haugen’i temsil eden grup olan Whistleblower Aid tarafından temsil ediliyor. Ancak Zatko’nun Elon Musk ile temasta olmadığı ve ihbar sürecini Musk’ın ilgisi gösterilmeden önce başlattığı notu var.
Zatko’nun, ihbarı nedeniyle ABD hükümetinden para ödülü almaya hak kazanabileceği kaydediliyor. SEC tarafından “başarılı bir yaptırım eylemine yol açan orijinal, zamanında ve güvenilir bilgiler” ödüllendiriliyor. SEC, 2012’den bu yana yaklaşık 300 ihbarcıya 1 milyar dolardan fazla ödül verdi.
Zatko’nun muhbir olma kararına yol açan olayın, 2020’de o zamanki başkan adayı Joe Biden, eski Başkan Barack Obama da dahil olmak üzere dünyanın en ünlü insanlarından bazılarının Twitter hesaplarının hack’lenmesiyle başladığı notu var.
Saldırıdan sonra Dorsey, daha önce Google, Stripe ve ABD Savunma Bakanlığı’nda üst düzey görevlerde bulunan bir “etik hacker” olan Zatko’yu işe aldı. Zatko’nun bulduğunu söylediği şey, şirketin işgücünün yaklaşık yarısına tekabül eden binlerce şirket çalışanına platformun kritik kontrollerinden bazılarına erişim vermek de dahil olmak üzere olağanüstü derecede zayıf güvenlik uygulamalarına sahip bir şirket olmasıydı. Ortama kimin girdiğine veya ne yaptığına dair bir kayıt yoktu. Kimse verilerin nerede yaşadığını veya olup olmadığını bilmiyordu. Açıklamasında, genel bulgularını “korkunç eksiklikler, ihmal, kasıtlı cehalet ve ulusal güvenlik ve demokrasiye yönelik tehditler” olarak tanımlıyor.
Düzenleyicilere gönderilen mektuba ve Zatko’nun Patrick Pichette’e şubat ayında yazdığı bir e-postaya göre, şirketin 500.000 sunucusunun yaklaşık yarısı, depolanan veriler için şifreleme veya satıcılar tarafından düzenli güvenlik güncellemeleri gibi temel güvenlik özelliklerini desteklemeyen eski yazılımlarla çalışıyor.