Lỗi bảo mật của Twitter: Khi người dùng bị "moi" thông tin quá dễ

Cựu giám đốc an ninh của Twitter, Peiter "Mudge" Zatko đã nói với một hội đồng của Thượng viện Mỹ vào hôm 13/9 rằng, chủ nhân cũ của anh ấy ưu tiên lợi nhuận hơn là giải quyết những lo ngại về bảo mật mà theo anh ấy là khiến thông tin người dùng có nguy cơ rơi vào tay kẻ xấu.

Zatko nói với các thành viên của Ủy ban Tư pháp Thượng viện, chưa đầy một tháng sau khi đơn tố cáo của ông được báo cáo công khai: "Không có gì là xa vời khi nói rằng một nhân viên trong công ty dễ dàng có thể chiếm đoạt tài khoản của tất cả các thượng nghị sĩ trong phòng này".

Zatko làm chứng rằng Twitter thiếu các biện pháp bảo mật cơ bản và có cách tiếp cận miễn phí để truy cập dữ liệu giữa các nhân viên, mở ra nền tảng này trước những rủi ro lớn.

Lời khai đã tiếp thêm nhiên liệu cho sự chỉ trích của các nhà lập pháp rằng, các nền tảng công nghệ lớn đặt mục tiêu doanh thu và tăng trưởng lên trên việc bảo vệ người dùng. Trong khi nhiều công ty có sai sót trong hệ thống bảo mật của họ, vị trí độc tôn của Twitter như một quảng trường công khai trên thực tế đã khuếch đại những tiết lộ của Zatko, điều này càng có ý nghĩa hơn khi Twitter tranh cãi với Elon Musk.

Musk đã tìm cách mua lại công ty với giá 44 tỷ đô la nhưng sau đó cố gắng rút lui khỏi thỏa thuận, tuyên bố Twitter lẽ ra nên cập nhật thông tin về cách họ tính toán tỷ lệ phần trăm tài khoản spam. Một thẩm phán trong vụ án gần đây cho biết Musk có thể sửa đổi các tuyên bố phản tố của mình để liên quan đến các vấn đề mà Zatko đã nêu ra.

Người phát ngôn của Twitter phản bác lời khai của Zatko và cho biết, công ty sử dụng các biện pháp kiểm soát truy cập, kiểm tra lý lịch và hệ thống giám sát và phát hiện để kiểm soát quyền truy cập vào dữ liệu.

Đây là những điều quan trọng rút ra từ lời khai của Zatko:

Thiếu kiểm soát đối với dữ liệu

Theo Zatko, hệ thống của Twitter vô tổ chức đến mức nền tảng không thể nói chắc chắn liệu họ có xóa hoàn toàn dữ liệu của người dùng hay không. Đó là bởi vì Twitter đã không theo dõi tất cả dữ liệu đó được lưu trữ ở đâu.

Zatko nói: "Họ không biết họ có dữ liệu gì từ tài khoản người dùng, sống ở đâu hay đến từ đâu, và vì vậy, không có gì ngạc nhiên khi họ không thể bảo vệ người dùng của mình".

Karim Hijazi, Giám đốc điều hành của công ty tình báo mạng Prevailion, cho biết các tổ chức lớn như Twitter thường gặp phải tình trạng "cơ sở hạ tầng trôi dạt", khi mọi người đến và đi, và các hệ thống khác nhau đôi khi bị bỏ quên".

Hijazi, người trước đây cũng từng là giám đốc tình báo của Mandiant, hiện thuộc sở hữu của Google cho biết: "Điều đó khá bất ngờ đối với một công ty công nghệ lớn như Twitter khi không có những điều cơ bản".

Chris Lehman, Giám đốc điều hành của SafeGuard Cyber và là cựu phó chủ tịch của FireEye, cho biết: "Điều đó sẽ gây sốc cho tôi" nếu Twitter thực sự không có môi trường làm việc chuyên nghiệp, rõ ràng".

Quyền truy cập rộng rãi của nhân viên vào thông tin người dùng

Zatko cho biết việc thiếu hiểu biết về nơi dữ liệu tồn tại đồng nghĩa với việc nhân viên cũng có nhiều quyền truy cập hơn so với những gì họ cần vào hệ thống của Twitter.

"Ai có chìa khóa không quan trọng nếu bạn không có bất kỳ ổ khóa nào trên cửa", Zatko nói.

Các kỹ sư, những người tạo nên một phần lớn công ty, được cấp quyền truy cập vào môi trường thử nghiệm trực tiếp của Twitter theo mặc định, Zatko tuyên bố. Ông nói rằng loại truy cập đó chỉ nên được giới hạn cho một nhóm nhỏ hơn.

Với rất nhiều nhân viên có quyền truy cập thông tin quan trọng, công ty dễ bị ảnh hưởng bởi các hoạt động có vấn đề như hối lộ và hack, Hijazi và Lehman cho biết.

Các nhà quản lý Hoa Kỳ không làm công ty phải sợ để tuân thủ

Zatko làm chứng rằng các khoản phạt một lần thường là kết quả của các cuộc dàn xếp với các cơ quan quản lý Hoa Kỳ như Ủy ban Thương mại Liên bang là không đủ để khuyến khích các hoạt động bảo mật mạnh mẽ hơn.

Zatko nói với Thượng nghị sĩ Richard Blumenthal , D-Conn rằng, thỏa thuận trị giá 150 triệu đô la như thỏa thuận mà Twitter đã đạt được với FTC vào tháng 5 vì những cáo buộc họ đã xuyên tạc bằng cách sử dụng thông tin liên hệ để nhắm mục tiêu quảng cáo, điều đó sẽ không đủ để ngăn chặn công ty khỏi vấn đề bảo mật xấu.

Ông nói, công ty Twitter sẽ lo lắng hơn nhiều về việc các cơ quan quản lý châu Âu có thể áp đặt các biện pháp khắc phục lâu dài hơn. "Lúc đó, mối quan tâm chỉ thực sự là về một khoản tiền cao hơn đáng kể", Zatko nói. "Hoặc nếu đó sẽ là rủi ro tái cấu trúc thể chế nhiều hơn".