É o mais recente escândalo relacionado com cibersegurança e as redes sociais: antigo responsável de segurança do Twitter diz que a empresa enganou os reguladores
O Twitter tem grandes problemas de segurança que representam uma ameaça às informações pessoais dos próprios utilizadores, aos acionistas da empresa, à segurança nacional e à democracia, denuncia um relatório divulgado por um whistleblower à qual a CNN Internacional e o Washington Post tiveram acesso.
A denúncia, enviada no mês passado ao Congresso e às agências federais norte-americanas, revela que a empresa permite que muitos dos seus funcionários tenham acesso aos comandos centrais da plataforma e a informações confidenciais sem supervisão adequada. O relatório também alega que alguns dos executivos mais seniores da empresa estarão a tentar encobrir sérias vulnerabilidades do Twitter e que um ou mais funcionários podem estar a trabalhar para um serviço de informação estrangeiro.
“O Twitter é grosseiramente negligente em diversas áreas de segurança de informação. Se estes problemas não forem corrigidos, os reguladores, os media e os utilizadores ficarão chocados quando inevitavelmente descobrirem a falta de medidas básicas de segurança do Twitter”, pode ler-se na queixa do especialista de segurança.
Quem é o whistleblower
O responsável pela divulgação do relatório, que concordou em ser identificado publicamente, é Peiter "Mudge" Zatko - que anteriormente era o responsável de segurança do Twitter e reportava diretamente ao CEO. Mas Zatko não é desconhecido do público norte-americano: a primeira vez que chamou à atenção para o tema da proteção de dados foi em 1998, quando participou nas primeiras audiências no Congresso sobre cibersegurança.
"Durante toda a minha vida procurei encontrar lugares onde posso ir e fazer a diferença. Fiz isso através do campo da segurança. Essa é a minha principal alavanca", afirmou numa entrevista à CNN no início deste mês.
Os eventos que levaram à decisão de se tornar um denunciante começaram ainda antes de trabalhar no Twitter, com um ciberataque devastador em 2020, no qual as contas de algumas personalidades - incluindo o então candidato presidencial Joe Biden, o ex-presidente Barack Obama, Kim Kardashian e Elon Musk - estavam comprometidas.
Após o ataque, o então CEO da rede social, Jack Dorsey, recrutou Peiter Zatko, já um conhecido "hacker ético" que se tornou especialista em cibersegurança e que anteriormente ocupou cargos seniores na Google, Stripe e no Departamento de Defesa dos Estados Unidos.
E o que Zatko agora diz ter encontrado foi uma empresa com práticas de segurança "extraordinariamente más", incluindo fornecer a milhares de funcionários da rede social – aproximadamente metade da força de trabalho da empresa – acesso a alguns dos controlos críticos da plataforma. O relatório agora divulgado descreve as suas descobertas como "deficiências flagrantes, negligência, ignorância intencional e ameaças à segurança nacional e à democracia".
Segundo noticia a CNN Internacional, o denunciante alega que a liderança do Twitter enganou o próprio conselho de administração e os reguladores do governo norte-americano sobre as suas vulnerabilidades em relação à segurança, incluindo algumas que poderiam abrir a porta a espionagem estrangeira ou manipulação, hacking e campanhas de desinformação.
O whistleblower também alega que o Twitter não exclui de forma confiável os dados dos utilizadores depois de estes cancelarem as suas contas porque, em alguns casos, a empresa perdeu o controlo das informações e que enganou os reguladores sobre se exclui os dados como é necessário.
Peiter "Mudge" Zatko também diz que os executivos desta rede social não têm recursos para entender completamente o verdadeiro número de bots na plataforma. Importa relembrar que os bots tornaram-se recentemente um ponto central nas tentativas de Elon Musk desistir de um acordo de 44 milhões de dólares para comprar a empresa (embora o Twitter negue as alegações do magnata da tecnologia).
John Tye, fundador da Whistleblower Aid e advogado de Zatko, disse à CNN Internacional que Zatko não esteve em contacto com Elon Musk e que iniciou o processo de denúncia antes que houvesse qualquer indicação do envolvimento do dono da Tesla com o Twitter.
Depois da publicação do artigo, Alex Spiro, advogado de Elon Musk, disse à CNN Internacional: "Já emitimos uma intimação para o Sr. Zatko e consideramos a sua saída e a de outros funcionários importantes curiosa à luz do que descobrimos".
"O que vimos até agora é uma narrativa falsa": a resposta do Twitter
A CNN Internacional realça que questionou o Twitter com mais de 50 perguntas específicas sobre a divulgação deste relatório. E, em comunicado, um porta-voz desta rede social afirmou que a segurança e privacidade são prioridades de longa data para a empresa.
O Twitter também disse que a empresa fornece ferramentas claras para os utilizadores controlarem a privacidade, direcionamento de anúncios e partilha de dados e acrescentou que criou fluxos de trabalho internos para garantir que os utilizadores saibam que, quando cancelarem as suas contas, o Twitter as desativará e iniciará um processo de exclusão. Contudo, o Twitter recusou-se a dizer se normalmente conclui o processo.
"O Sr. Zatko foi demitido do seu cargo de executivo sénior no Twitter em janeiro de 2022 por liderança ineficaz e mau desempenho", disse o porta-voz do Twitter.
"O que vimos até agora é uma narrativa falsa sobre o Twitter e sobre as nossas práticas de privacidade e segurança de dados, repleta de inconsistências e imprecisões e sem contexto importante. As alegações de Zatko e o momento oportunista parecem projetados para chamar a atenção e infligir danos ao Twitter , aos seus clientes e aos seus acionistas. A segurança e privacidade têm sido prioridades de toda a empresa no Twitter e continuarão a sê-lo."
O Twitter não respondeu a perguntas sobre o risco de interrupções no data center (centro de dados), mas disse à CNN que as pessoas nas equipas de engenharia e produtos do Twitter estão autorizadas a aceder ao ambiente de produção se tiverem uma justificação comercial específica para fazê-lo. Os funcionários do Twitter usam dispositivos supervisionados por outras equipas de IT e segurança com o poder de impedir que um dispositivo se conecte a sistemas internos confidenciais se estiver a executar um software desatualizado, acrescentou a empresa.
A empresa também disse que usa verificações automatizadas para garantir que os computadores portáteis com software desatualizado não possam aceder ao ambiente de produção e que os funcionários só podem fazer alterações no produto ativo do Twitter depois de o código atender a certos requisitos de manutenção de registos e revisão.