افشاگری مدیر سابق توییتر؛ از همکاری با ماموران دولتی تا ناتوانی در تامین امنیت کاربران

«پیتر زاتکو»، متخصص امنیت شبکه، هکر، و نویسنده‌ای است که بیشتر با نام مستعار «ماج» شناخته می‌شود. پیتر زاتکو در نوامبر ۲۰۲۰ در مسند سرپرست امنیتی توییتر استخدام شد، اما عمر همکاری او با توییتر طولانی نبود و پس از ۱۴ ماه اخراج شد. او در اوت ۲۰۲۲، شش ماه پس از اخراج شدن از توییتر، دست به افشاگری بی‌سابقه‌ای زده است. تصویری که او از  توییتر ترسیم می‌کند، نشانگر اوج بحران و ناتوانی این شرکت در تامین امنیت کاربران و نفوذ افراد وابسته به برخی دولت‌ها به آن است. به دنبال این افشاگری، هشت نفر از کارمندان فعلی و سابق توییتر به شرط ناشناس ماندن، با مجله تایم گفت‌وگو کردند تا در مورد آن صحبت کنند. آن‌ها در این گفت‌و‌گو اظهار داشته‌اند که بسیاری از جنبه‌های افشای زاتکو، به ویژه ادعاهای زاتکو در مورد کمبودهای امنیتی و قصور در رهبری شرکت، با تجربیات آنان همخوانی دارد. برخی از کارکنان نیز بر این باور بوده‌اند که ادعاهای او گمراه‌کننده، مبهم یا فاقد زمینه است و دلیل آن نیز به باور آنان، این است که زاتکو در بخش‌های مختلف شرکت در رفت‌و‌آمد بوده و  فقط بینش اولیه‌ای از آن‌ها داشته است. مدیر سابق امنیت توییتر چه ادعاهایی علیه این شرکت مطرح کرده است؟ زاتکو با ارسال نامه‌ای به کمیسیون بورس و اوراق بهادار آمریکا و ذکر مواردی، از جمله امنیت پایین سیستم‌های مدیریتی و گمراه‌سازی کمیسیون تجارت فدرال و کاربران، مدعی حفاظت ناکافی توییتر از حریم خصوصی کاربران و ارائه اطلاعات نادرست درباره تعداد «بات»‌ها، حساب‌‌‌های کاربری جعلی توییتر، شده است. زاتکو همچنین ادعا کرده است که این شبکه اجتماعی به ابزاری برای ردیابی معترضان از سوی دولت‌ها تبدیل شده است. زاتکو ادعا می‌کند که «رهبر توییتر»، هیات‌مدیره و «رگولاتور»های دولتی را در مورد آسیب‌پذیری‌های امنیتی گمراه کرده است. از جمله مواردی که زاتکو مطرح می‌کند، این است که توییتر راه نفوذ را برای جاسوسی یا دستکاری خارجی، هک، و پویش‌های نشر اطلاعات نادرست، باز گذاشته است. افشاگر همچنین ادعا می‌کند که توییتر پس از لغو حساب‌های کاربری، اطلاعات کاربران را به‌ شیوه‌ای «قابل‌اعتماد» حذف نمی‌کند، و در برخی موارد، از دست رفتن «مسیر اطلاعات» در توییتر، دلیل این رخداد است. افشاگر همچنین می‌گوید که مدیران توییتر علاوه بر اینکه منابع لازم را برای برآورد تعداد واقعی بات‌ها در این پلتفرم ندارند، انگیزه‌ای هم برای این اقدام در این زمینه از خود نشان نداده‌اند. موضوع بات‌ها و حساب‌های جعلی توییتر پیش‌تر از سوی ایلان ماسک نیز مطرح شده بود و ادعای فقدان شفافیت توییتر در این باره، از دلایل اصلی انصراف ایلان ماسک از خرید توییتر بوده است. وکیل زاتکو اعلام کرده است که زاتکو با ایلان ماسک تماسی نداشته است و فرایند افشاگری او، پیش از تصمیم ماسک برای خرید توییتر در جریان بوده است. به دنبال این ادعاها، سخنگوی توییتر به سی‌ان‌ان گفته است که امنیت و حریم خصوصی، هر دو از اولویت‌های دیرینه این شرکت بوده‌ است و توییتر ابزارهای شفافی برای کنترل حریم خصوصی، تبلیغات هدفمند، و اشتراک‌گذاری داده‌ها فراهم می‌کند و شیوه‌ای ایجاد کرده است تا کاربران اطمینان یابند که وقتی حساب‌های خود را لغو می‌کنند، توییتر نیز حساب‌ها را غیرفعال، و فرایند حذف آن‌ها را آغاز می‌کند. اما به گفته سی‌ان‌ان، توییتر از پاسخ به این پرسش که آیا در اغلب موارد این فرایند را تکمیل می‌کند یا نه، خودداری کرده است. یکی دیگر از افشاگری‌های زاتکو که واکنش‌های زیادی در پی داشته است، منع شدن او از ارایه گزارش‌های درست به هیات‌مدیره در دوران فعالیتش در توییتر بوده است. براساس این افشاگری، مدیرعامل توییتر و معاونان او بارها زاتکو را از ارائه گزارش کامل مشکلات امنیتی توییتر به هیات‌مدیره منع کرده‌اند. به نظر می‌رسد که تیم اجرایی توییتر به زاتکو دستور داده بوده است که یافته‌های خود را درباره وضعیت امنیتی شرکت، به صورت گزارش شفاهی به هیات‌مدیره ارائه دهد و به جای یک گزارش مکتوب دقیق، داده‌های نادرستی ارائه کند تا درک صحیحی از پیشرفت امنیتی شرکت ایجاد نشود.  زاتکو در بخش دیگری از افشاگری‌های خود اعلام کرده است که پس از وقایع یورش به بنای کنگره آمریکا در ژانویه ۲۰۲۱، نگران بوده است که شخصی در توییتر که با حمله‌کنندگان همدردی می‌کند، بکوشد پلتفرم شرکت را دستکاری کند. به همین دلیل، زاتکو به دنبال محدود کردن «دسترسی داخلی» بوده است که به مهندسان توییتر اجازه می‌دهد تا تغییراتی را در بخش موسوم به «محیط تولید» (production environment) ایجاد کنند. اصطلاح «محیط تولید» برای توصیف تنظیماتی به کار می‌رود که در آن، نرم‌افزارها و سایر محصولات برای استفاده‌های مورد نظر کاربران نهایی، به کار گرفته می‌شوند. زاتکو می‌گوید، پس از بررسی متوجه شده است که محافظت از محیط تولید ناممکن است، زیرا همه مهندسان به آن دسترسی دارند و هیچ گزارشی از اینکه چه کسی وارد شده یا چه کاری انجام داده است، وجود ندارد، و علاوه بر آن، هیچ کس هم نمی‌داند که داده‌ها کجا قرار دارند. توییتر در این باره به سی‌ان‌ان گفته است که «اعضای تیم‌های مهندسی و بخش محصولات توییتر، چنانچه توجیه تجاری خاصی داشته باشند، مجازند که به محیط تولید دسترسی داشته باشند.» این پاسخ توییتر را می‌توان صحه‌ای بر مدعای افشاگر دانست که عده زیادی به این محیط دسترسی دارند. در سال ۲۰۱۰ نیز کمیسیون فدرال تجارت، از توییتر به دلیل سوءاستفاده از اطلاعات خصوصی کاربران و دسترسی بیش از حد کارمندان به بخش کنترل‌های مرکزی، شکایت کرد. یک سال بعد از این شکایت، توییتر متعهد شد که اقدامات حریم خصوصی خود را بازبینی کند.  آیا توییتر در تامین امنیت کاربران ناتوان است؟ زاتکو با استناد به گزارش‌های امنیت سایبری داخلی، برآورد می‌کند که از هر ۱۰ دستگاه در توییتر، چهار دستگاه استانداردهای امنیتی اولیه را رعایت نمی‌کنند، و ادعا می‌کند که توییتر در زمینه نقض امنیت اطلاعات، نمی‌تواند کارکنان خود را بازخواست، یا وادار به پاسخگویی کند، زیرا کنترل اندکی روی رایانه‌های کاری کارکنان دارد. زاتکو همچنین اعلام کرده است که حدود نیمی از ۵۰۰ هزار «سرور» توییتر بر روی نرم‌افزاری منسوخ شده اجرا می‌شوند که از ویژگی‌های امنیتی اولیه، مانند رمزگذاری داده‌های ذخیره‌شده یا به‌روز رسانی‌های امنیتی منظم، پشتیبانی نمی‌کند. همچنین، در این افشاگری ذکر شده است که پیش از اخراج شدن زاتکو، دولت آمریکا شواهدی مبنی بر همکاری دست‌کم یکی از کارکنان توییتر با سرویس اطلاعاتی یک دولت دیگر، در اختیار توییتر گذاشته است. او می‌گویدکه دولت هند توییتر را مجبور کرده است که یک نماینده دولتی (هند) استخدام کند. گفته می‌شود که مامور دولتی هند به دلیل ضعف در زیرساخت امنیتی توییتر، به اطلاعات حساس کاربران دسترسی داشته است. تبعات افشاگری‌های مدیر سابق توییتر، بی‌شک یکی از بزرگ‌ترین چالش‌های پیش روی توییتر خواهد بود. چنانچه مشخص شود که توییتر تعهدات قانونی خود و حریم خصوصی کاربران را نقض کرده است، میلیاردها دلار جریمه در انتظار این شرکت خواهد بود. زاتکو نیز ممکن است به دلیل افشاگری‌ مهم، واجد شرایط دریافت جایزه بزرگ مالی از سوی دولت ایالات متحده شود.