O Twitter teria escondido práticas de segurança negligentes, enganado os reguladores federais sobre sua segurança e falhado em estimar adequadamente o número de bots em sua plataforma. As denúncias são do ex-chefe de segurança da empresa, o lendário hacker que virou especialista em segurança cibernética Peiter “Mudge” Zatko. As alegações podem ter consequências, incluindo multas federais e uma reviravolta na venda do Twitter para o CEO da Tesla, Elon Musk, cuja transação está em julgamento.

Zatko foi recrutado no final de 2020 para chefiar a divisão de segurança da rede social, meses após uma violação de dados ser feita por hackers adolescentes que sequestraram as contas do Twitter de personalidades como Joe Biden, Barack Obama, Bill Gates e Kanye West.

O executivo foi demitido pelo Twitter em janeiro deste ano e afirma que sua demissão foi uma retaliação por sua recusa em ficar calado sobre as vulnerabilidades da empresa. No mês passado, ele apresentou uma queixa a Securities and Exchange Commission (SEC), que acusa o Twitter de enganar os acionistas e violar um acordo que fez com a Federal Trade Commission (FTC) para manter certos padrões de segurança. Suas queixas, totalizando mais de 200 páginas, foram obtidas pela CNN e pelo The Washington Post e publicadas na manhã desta terça-feira, 23.

Embora seu tempo no Twitter tenha sido breve, Zatko diz que testemunhou “deficiências flagrantes, negligência, ignorância deliberada e ameaças à segurança nacional e à democracia”, de acordo com sua denúncia de 6 de julho. Ele disse ao Washington Post que sua denúncia pública ocorre depois que suas tentativas de sinalizar os lapsos de segurança com o conselho do Twitter foram ignoradas.

Zatko alega na queixa que o Twitter não tinha controles básicos de segurança. Disse que milhares de laptops de funcionários continham cópias completas do código-fonte da rede social e que cerca de um terço desses dispositivos bloqueava correções automáticas de segurança, tinha firewalls de sistema desligados e tinha acesso remoto a desktops habilitado para propósitos não aprovados. Zatko também acusou a empresa de não monitorar ativamente o que os funcionários estavam fazendo em seus computadores. Como resultado, “os funcionários foram encontrados repetidamente instalando spyware intencionalmente em seus computadores de trabalho a pedido de organizações externas”, dizia a queixa.

Zatko também alega que cerca de 5 mil funcionários em tempo integral tiveram amplo acesso ao software interno da empresa e que o acesso não foi monitorado de perto, dando-lhes a capacidade de acessar dados confidenciais e alterar o funcionamento do serviço.

Durante seu tempo na empresa, Zatko disse que encontrou várias vulnerabilidades “esperando para serem descobertas”. Ele diz que descobriu que metade dos 500 mil servidores de datacenter da empresa rodam em software desatualizado que não suporta recursos básicos de segurança, como criptografia para dados armazenados, ou não recebe mais atualizações regulares de segurança de seus fornecedores. Isso significava que o Twitter sofria de uma “taxa anormalmente alta” de incidentes de segurança, disse Zatko, e que “temia que o Twitter pudesse sofrer um hack no nível da Equifax”, referindo-se à violação da agência de crédito de 2017 que resultou no roubo de cerca de informações pessoais de 150 milhões de americanos.

Robôs

Segundo a queixa do ex-chefe de segurança, o método do Twitter de medir o número de bots entre seus usuários ativos diários mensais é enganoso. Além do mais, afirma que os executivos são incentivados (com bônus de até US$ 10 milhões) a aumentar a contagem de usuários em vez de remover bots de spam. A rede social, no entanto, alega que menos de 5% de seus mDAUs são bots, contas falsas ou spam.

A queixa também afetará o julgamento entre Musk e o Twitter. Musk está atualmente tentando se livrar de um acordo de US$ 44 bilhões para comprar a empresa, justificando a decisão com uma acusação de que o Twitter está mentindo sobre o verdadeiro número de contas de bot e spam na plataforma. “Já emitimos uma intimação para Zatko”, disse Alex Spiro, advogado que representa Musk, em comunicado publicado no site The Verge.

Resposta

O CEO do Twitter, Parag Agrawal, respondeu às acusações em um e-mail enviado aos funcionários e postado no Twitter pelo jornalista da CNN Donie O’Sullivan.

Na carta, Agrawal repete a declaração pública do Twitter, alegando que Zatko foi demitido no início deste ano por “liderança ineficaz e desempenho ruim”. Quanto às suas acusações, o CEO afirma que a empresa está analisando o que foi publicado, mas que o que eles viram é “uma narrativa falsa repleta de inconsistências e imprecisões e apresentada sem contexto importante”.

O texto diz ainda que Zatko “foi responsável por muitos aspectos deste trabalho que ele agora está retratando incorretamente mais de seis meses após sua rescisão”.