В Сенате США вчера выступил бывший глава безопасности сервиса микроблогов Twitter, некогда известный хакер Питер (Мадж) Затко. Он обвинил компанию в небрежности при хранении пользовательских данных, в плохой организации проверки новых сотрудников и в том, что компания ставила собственные интересы и получение прибыли выше интересов своих пользователей. Показания господина Затко могут стать одним из наиболее серьезных оснований по расторжению сделки между Илоном Маском и Twitter.
Питер Затко
Фото: Jacquelyn Martin / AP
Показания в комитете по юридическим вопросам Сената США были даны после того, как Питер Затко разослал в июле письма в три федеральных ведомства — Комиссию по ценным бумагам и биржам, Министерство юстиции и Федеральную комиссию по торговле, а также в Конгресс США. В них он сообщил, что Twitter нарушала свои же установленные правила работы, ставила собственные интересы и получение прибыли выше интересов своих пользователей, отказывалась исправлять нарушения, а лиц, которые указывали на них (в данном случае — самого Затко), просто увольняла.
В 1990-х годах Питер Затко был больше известен под своим никнеймом Мадж (Mudge) в среде хакеров. Он входил в одну из первых хакерских группировок «Культ мертвой коровы» (Cult of the Dead Cow — cDc), получившую такое название из-за того, что изначально молодые хакеры собирались на месте бывшей скотобойни одной из техасских ферм. Господина Затко прославился как авторитетный эксперт в области компьютерной безопасности, выступал на многочисленных интернет-конференциях. В 1998 году вместе с другими хакерами и специалистами по компьютерной безопасности на специальных слушаниях в Сенате США рассказывал об основных уязвимостях интернета того времени. Вскоре Питера Затко стали приглашать на работу крупные корпорации, такие как Google и Motorola. Он даже успел поработать на департамент перспективных разработок Министерства обороны США (DARPA). В ноябре 2020 года на работу в Twitter его взял сам основатель компании Джек Дорси, который тогда был ее гендиректором. Правда, в ноябре 2021 года Дорси ушел с поста главы Twitter, а спустя несколько месяцев, в январе 2022 года, из компании уволили и Питера Затко.
О письмах, разосланных Питером Затко в федеральные ведомства, стало известно лишь в августе. После этого Илон Маск, против которого Twitter подала в суд за отказ от ее покупки за $44 млрд, заявил, что хочет привлечь Питера Затко в качестве свидетеля на своей стороне. По мнению Маска, слова господина Затко подтверждают причины о грубых нарушениях в Twitter, из-за которых миллиардер отказался покупать компанию.
Как заявил вчера господин Затко, работа систем безопасности в Twitter настолько плохо организована, что компания сама не знает, удалены окончательно какие-то пользовательские данные или нет. Все это из-за того, что Twitter плохо или вообще не отслеживает, как и где хранятся эти данные.
«Они просто не знают, какие данные у них есть, где они находятся и откуда поступают. Неудивительно, что они просто не могут как-то их защищать»,— отметил бывший глава службы безопасности.
Еще одним серьезным упущением в работе Twitter бывший хакер считает, что слишком много сотрудников компании имеют доступ к конфиденциальной информации клиентов, причем среди этих сотрудников есть те, которые не должны иметь такой доступ. «Там вообще никому не важно, у кого есть ключи от тех или иных дверей,— сообщил сенаторам господин Затко.— Всем инженерам по умолчанию предоставляется доступ к системе тестирования в реальных условиях, а такого быть не должно. Такие полномочия должны предоставляться более узкой группе специалистов».
Критике бывший топ-менеджер Twitter подверг и американских регуляторов. По его мнению, штрафы и наказания, которые на компанию накладывали регуляторы, слишком малы и не заставляют руководителей как следует исправлять ситуацию. «Когда я там работал, их волновала только сумма штрафа либо риск быть подвергнутым какой-либо системной реструктуризации. Но те штрафы, которые на них накладывали, там мало кого волновали»,— отметил господин Затко. Напомним, в мае Twitter был оштрафован американскими регуляторами на $150 млн за незаконный сбор и передачу третьим лицам контактных данных пользователей — номеров телефонов и адресов электронной почты. По данным властей, это происходило в период с 2013 по 2019 год.
Господин Затко также обвинил Twitter в беспечности и пренебрежении интересами национальной безопасности. По его словам, система проверки новых сотрудников устроена так, что туда не составит проблемы устроиться иностранному шпиону, который может получить доступ к огромным массивам конфиденциальных данных пользователей.
Господин Затко рассказал сенаторам, что за неделю до его увольнения, в январе текущего года, ФБР сообщила службе безопасности компании, что среди сотрудников есть по меньшей мере один агент китайского Министерства безопасности.
«Когда я это узнал, я был сильно огорчен,— подчеркнул господин Затко.— Но в то же время я не был удивлен, вот так там работает система». По его данным, помимо китайских агентов в Twitter также проник агент индийских властей. По словам господина Затко, руководство Twitter само не делало никаких шагов по обнаружению иностранных агентов в своей компании, а начинает о чем-то беспокоиться, только когда получает предупреждение от спецслужб: «Все это напоминает мне беседу с одним из руководителей, когда я ему сказал: "Я уверен, что у нас работает иностранный агент". На что он мне ответил: "Ну, раз у нас уже есть один, что с того, если будет кто-то еще?"».
Американские СМИ и эксперты пока теряются в догадках, к чему могут привести откровения бывшего хакера и топ-менеджера Twitter. Сама компания отреагировала на слушания в Сенате тем, что выпустила заявление. «Прошедшие слушания только подтверждают тот факт, что обвинения господина Затко изобилуют нестыковками и неточностями»,— сообщили в пресс-службе Twitter.