Twitterの元セキュリティ責任者が会社の重大なセキュリティ問題を告発

Twitterの元セキュリティ責任者が、マイクロブログプラットフォームが公衆を欺き、連邦規制当局や会社の取締役会に対してセキュリティの欠陥や偽アカウントの問題について誤解を招いていると告発する内部告発を提出しました。

内部告発者であるPeiter Zatko（通称「Mudge」）は、先月、証券取引委員会（SEC）、連邦取引委員会（FTC）、および司法省に対して200ページ以上にわたる苦情を提出しました。これらの文書はCNNとワシントンポストによって入手されました。

Zatkoはその告発の中で、セキュリティの脆弱性がTwitterのユーザーの個人データ、国家安全保障、民主主義に対して重大な脅威をもたらすと述べています。また、Twitterが株主を欺き、特定のセキュリティ基準を維持するというFTCとの合意に違反していると非難しました。

Peiter Zatkoは、ベテランハッカーでありセキュリティ専門家で、2020年11月に元Twitterの責任者Jack Dorseyによってセキュリティ責任者として雇われました。これは、会社のシステムが大規模にハッキングされた後のことです。しかし、彼は2022年1月に「効果的でないリーダーシップとパフォーマンスの低さ」を理由にソーシャルメディアプラットフォームから解雇されました。

内部告発者としての開示の中で、ZatkoはTwitterのリーダーシップが「自社の取締役会や政府の規制当局に対してセキュリティの脆弱性について誤解を招いた」とも述べています。彼は、これらの脆弱性のいくつかが「外国のスパイ活動や操作、ハッキング、偽情報キャンペーンの扉を開く可能性がある」と付け加えました。

彼のもう一つの主張は、会社がユーザーがアカウントをキャンセルした後にデータを確実に削除していないというものでした。これは、会社が情報を見失ったためにいくつかのケースで発生しました。

内部告発者はまた、Twitterの幹部がプラットフォーム上のボットの正確な数を完全に理解するためのリソースを欠いていると述べています。これは、マスクが自身の440億ドルの買収契約を撤回する理由の重要な要素です。彼はまた、実際のボットやスパムアカウントの数についてエロン・マスクや株主に対して嘘をついていると非難しています。

「これは私の最初のステップでは決してありませんが、私はJackとプラットフォームのユーザーに対する義務を果たしていると信じています」とZatkoはワシントンポストに対して内部告発者になる決定について語りました。「私はJackが私を雇った目的であるこの場所を改善する仕事を終えたいと思っています。」

Zatkoは、SECの内部告発者規則に基づき、報復からの法的保護と潜在的な金銭的報酬を受ける権利があります。

アメリカ合衆国上院の情報委員会の広報担当者であるRachel Cohenは、委員会がZatkoの苦情を受け取り、「さらなる詳細を議論するための会議を設定中である」と述べました。「私たちはこの問題を真剣に受け止めています。」

ZatkoのTwitterでの任期に詳しい人物は、会社が彼の在任中にいくつかの主張を調査し、それらがセンセーショナルで根拠がないと判断したと述べています。また、時にはTwitterのFTCの義務についての理解が欠けていたとも言われています。

「Zatko氏は、6ヶ月以上前にTwitterでの上級役員の役割から解雇されました。私たちは、言及されている具体的な主張にはアクセスできていませんが、これまでに見たものは、私たちのプライバシーとデータセキュリティの実践についての矛盾や不正確さに満ちた物語であり、重要な文脈が欠けています」とTwitterの広報担当者は声明で述べました。

「Zatko氏の主張と機会主義的なタイミングは、Twitter、その顧客、株主に対して注意を引き、害を与えることを目的としているようです。セキュリティとプライバシーは、長い間Twitter全体の優先事項であり、私たちはまだ多くの作業を残しています。」

広報担当者は、Twitterが「SECへの提出書類とスパムとの戦いに対するアプローチを完全に支持している」と述べました。

TwitterのCEOであるParag Agrawalは、火曜日の朝に従業員に対して苦情に関するメールを送ったと報じられています。「現在Twitterに注目が集まっていることを考えると、今後数日間にさらに多くの見出しが出てくることを予想できます。これは私たちの仕事をさらに困難にするだけです」と彼はスタッフに伝えました。