חושף השחיתויות לסנאטורים: "עובד טוויטר יכול לחטוף לכם את החשבון"

פייטר (מאדג') זאטקו – ראש תחום האבטחה בטוויטר בין השנים 2020-2022 – חשף השנה שחיתויות מתוך החברה, אחרי שעזב אותה בינואר. הוא הגיש פנייה לקונגרס האמריקני, וזומן עקב חשיפותיו להתייצב מול המחוקקים, כדי לספר להם את שגילה בעת שירותו בטוויטר.

אתמול (ג') הוא התייצב להעיד בפני הסנאט ואמר דברים לא פשוטים על מצב האבטחה ברשת המצייצת. עדותו זו גם עשויה לסייע לאילון מאסק במשפטים שהמולטי-מיליארדר ינהל מול טוויטר באוקטובר, עקב ביטול ההתחייבות לרכישתה ב-44 מיליארד דולר.

בין שלל הדברים ששטח זאטקו בעדותו אתמול, כשנחקר במשך שעתיים וחצי על ידי חברי הסנאט, הוא מתח ביקורת על הפלטפורמה על כך שהסתירה פגמים במערכת האבטחה שלה ושיקרה בנוגע למאבקה בחשבונות מזויפים.

בשימוע הוא טען, למשל: "הם לא יודעים איזה דטה יש להם, איפה היא או מאיפה הגיעה, ולכן, באופן לא מפתיע – לא יכולים להגן עליה".

Twitter Whistleblower Peiter Zatko explains how easy it was for Twitter to track personal information of an user, user’s phone number, address, and their location at that precise moment. pic.twitter.com/ZyKt2cLhMc

— Real Mac Report (@RealMacReport) September 13, 2022

הפרות של תקנות ה-FTC וה-SEC ומצד שווא למאסק

מוקדם יותר השנה, ב-23 באוגוסט 2022 פורסם תוכן תלונה שעניינה חשיפת שחיתויות, שהגיש זאטקו לקונגרס האמריקני. התלונה, שפורסטה במסמך בן 84 עמודים, טענה כי טוויטר ביצעה הפרות מרובות של תקנות ניירות הערך של ארצות הברית, של חוק ועדת הסחר הפדרלית, ה-FTC, משנת 1914, ושל צו הסכמה בר-אכיפה משנת 2011, שהושג עם ה-FTC לאחר מספר בעיות שצצו בין השנים 2007 ל-2010.

זאטקו גם האשים את טוויטר ב"ליקויים קיצוניים וחריפים" בטיפולה במידע המשתמש ובבוטי ספאם – אותו עניין שבו התמקד מאסק בטענותיו נגד החברה. זאטקו הצביע בזמנו על כמה וכמה בכירים בטוויטר, כולל המנכ"ל, פרג אגרוואל, וחברי דירקטוריון מסוימים, על כך שפיזרו הצהרות כוזבות או מטעות לגבי פרטיות, אבטחה ומיתון וניטור תוכן בפלטפורמה, תוך הפרת כללי החשיפה של ה-SEC.

לטענת זאטקו, טוויטר גם ערכה מצג-שווא למאסק במהלך הצעת הרכישה שלו, וגרמה לו להסכים לקנות אותה בסכום העתק 44 מיליארד דולר, בתוך עיוות נתוני המשתמשים האותנטיים בפלטפורמה.

נהלי אבטחה מסוכנים. טוויטר. אילוסטרציה. צילום: BigStock

נהלי אבטחה סופר-רופפים וסיכון לביטחון הלאומי של ארה"ב

אתמול מול הסנאט העלה זאטקו שוב את נושא פגמי האבטחה הרבים של טוויטר, בהם נתקל במהלך כהונתו בה, והתייחס ספציפית גם לאבטחת חשבונות של הסנאטורים ברשת החברתית שבבעלותה. "זה לא מופרך לומר שעובד בתוך החברה יכול להשתלט על החשבונות של כל הסנאטורים בחדר הזה", אמר זטקו לחברי ועדת המשפט של הסנאט. לדבריו, לטוויטר חסרים אמצעי אבטחה בסיסיים, והיה לה נוהג להעניק גישה חופשית לעובדיה לנתונים שצברה, מה שפותח את הפלטפורמה לסיכונים גדולים. כפי שכתב בתלונתו, זטקו אמר שהוא מאמין שסוכן של ממשלה זרה הצליח להפוך לעובד בחברה, וסיפק זאת כדוגמה להשלכות של נוהלי האבטחה הרופפים של טוויטר.

"כאשר פלטפורמת מדיה משפיעה יכולה להיפגע על ידי בני נוער, גנבים ומרגלים, והחברה עצמה יוצרת שוב ושוב בעיות אבטחה, זו בעיה ענקית עבור כולנו", אמר זאטקו למחוקקים.

במהלך עדותו זאטקו אמר גם שהוא מבקש הגנה טובה יותר לחושפי שחיתויות, כדי שיוכלו לדווח על נקודות תורפה מבלי לעזוב את החברה שעליה הלינו. לדבריו, בארצות הברית, ל-FTC, אין את האמצעים לפעול נגד טוויטר בגין הפרותיה, מלבד נקטיה בסנקציה כספית לא מאוד דרמטית. זאטקו סבור שיש לחזק את פעולת הרגולטורים, כולל ה-FTC, מול ענקיות האינטרנט.

זטקו נשכר על ידי ג'ק דורסי, כשעוד היה המנכ"ל, מיד לאחר שחשבונותיהם של כמה משתמשים בפרופיל גבוה הופרו בפלטפורמה המצייצת, ב-2020. לדבריו, זמן קצר לאחר מכן הוא גילה את מה שלדבריו הוא "פצצת זמן של פגיעות אבטחה". הוא סיפר כי דיווחיו לא נשמעו על ידי קברינטי טוויטר, ולכן החליט לחשוף הכל בפני סוכנויות ממשלתיות ורגולטורים.

קצין האבטחה לשעבר של החברה שב ואמר כי טוויטר שיקרה לרשויות, לבעלי מניות ולמשתמשים. במהלך העדות סיפר כי טוויטר שכרה בשוגג סוכן מודיעין סיני, אשר כמהנדס יכול היה לגשת לנתוני משתמשים ולמידע רגיש בטוויטר. בין העובדים היו, לדבריו, גם סוכנים מהודו.

זאטקו הבהיר כי לדעתו התנהלותה של טוויטר כרוכה בבעיית ביטחון לאומי חמורה.

עקב השימוע שלחו שני סנאטורים מכתב למנכ"ל טוויטר, אגרוואל, וביקשו ממנו לענות על שורה של שאלות שעלו מהדברים עד ל-26 בספטמבר.

יצוין כי באחרונה נחשף, בדיווח בוול סטריט ג'ורנל, כי ביוני האחרון, חודשים רבים אחרי שזאטקו עזב את החברה, טוויטר הגיעה איתו להסדר ושילמה לו 7 מיליון דולר. הבכיר פוטר בינואר, ו-7 מיליון הדולרים שולמו רשמית כדי "לפצותו על אובדן שכר". עסקאות כאלה אינן יוצאות דופן כאשר בכיר בעל ידע פנימי עשיר עוזב חברה בטרם עת, אך לפי עורכי דינו של אילון מאסק, המקרה הזה מטריד בהתחשב בהקשר שלו. טוויטר מצידה כבר טענה קודם לכן כי שהטענות של זאטקו "מלאות בחוסר עקביות ואי דיוקים".

נזכיר כי מאסק ביטל את כוונתו להשתלט על טוויטר בתחילת הקיץ, לטענתו בגלל המידע הכוזב שהחברה העבירה לו ול-SEC לגבי מספר חשבונות הבוט והחשבונות המזויפים הפעילים. הצוות המשפטי של מאסק קיבל אישור להשתמש גם בטענותיו של זאטקו כדי להסביר את נטישת ההבטחה לרכישה, וכן לעשות אולי שימוש כהצדקה לביטול בתשלום מיליוני הדולרים לזאטקו, שלא עבר דרך מאסק, על אף מה שסוכם בחוזה בין הצדדים. הדיונים הראשונים בתביעה יחלו ל-17 באוקטובר.