Twitter avrebbe grossi problemi di sicurezza
Lo ha rivelato Peiter Zatko, che per poco più di un anno ha cercato di risolverli, prima di essere licenziato
Peiter Zatko, ex responsabile della sicurezza informatica di Twitter, ha rivelato che la società ha gravi problemi in questo ambito che non solo metterebbero a rischio i dati personali degli utenti del social network, ma costituirebbero un pericolo anche «per gli azionisti della società, la sicurezza nazionale americana e la democrazia». Così hanno scritto CNN e il Washington Post, a cui Zatko ha spiegato i dettagli dei problemi di sicurezza da lui trovati in circa un anno di lavoro per Twitter.
Il mese scorso l’informatico ha condiviso circa 200 pagine di documenti su questi problemi con il Congresso degli Stati Uniti e varie agenzie federali, accusando una parte della dirigenza di Twitter di voler nascondere le vulnerabilità del social e dichiarando che alcuni dei dipendenti potrebbero lavorare per un servizio segreto straniero. La commissione Intelligence del Senato, che ha ricevuto la documentazione di Zatko, sta organizzando una riunione per discutere delle accuse, ha detto a CNN la portavoce Rachel Cohen.
Ex hacker di grande notorietà – nel 1998 faceva parte di un gruppo che si era offerto di dare consigli alle istituzioni americane su come rafforzare la sicurezza informatica nazionale, e che durante un’udienza al Senato aveva sostenuto di poter spegnere internet nel giro di 30 minuti – Zatko lavora da anni nel campo della cybersecurity, e ha collaborato con Google e con il dipartimento della Difesa americano, tra gli altri. Era stato assunto da Jack Dorsey, fondatore ed ex amministratore delegato di Twitter, alla fine del 2020, dopo che in un enorme attacco informatico furono violati i profili di decine di persone famose, tra cui Barack Obama, Kim Kardashian ed Elon Musk.
Dopo poco più di un anno, lo scorso gennaio, Zatko era stato licenziato dall’attuale CEO Parag Agrawal, in precedenza direttore tecnico: la motivazione ufficiale dell’azienda sarebbero i suoi scarsi risultati come capo della sicurezza, mentre Zatko sostiene che il suo licenziamento sia avvenuto come ritorsione per i suoi avvertimenti sui problemi di sicurezza. Agrawal e i suoi più stretti collaboratori avrebbero scoraggiato Zatko dal riferire del tutto i problemi al consiglio d’amministrazione.
In generale il racconto di Zatko e la documentazione da lui raccolta e condivisa suggerisce che la dirigenza di Twitter non abbia voluto intervenire per risolvere i problemi di sicurezza. Tra i principali ci sarebbe il fatto che migliaia di dipendenti di Twitter – circa la metà del totale – avrebbero accesso all’infrastruttura che regge il funzionamento della piattaforma e a informazioni riservate. Questa situazione violerebbe un accordo che Twitter strinse nel 2011 con la Federal Trade Commission, l’agenzia governativa che si occupa di tutela dei consumatori e di privacy.
L’azienda peraltro non avrebbe gli strumenti per controllare le eventuali modifiche apportate dal singolo dipendente perché ha pochi controlli sui computer usati per lavorare.
Zatko sostiene anche che Twitter non cancelli i dati degli utenti che eliminano il proprio account sul social, come invece dovrebbe fare, e che non abbia i mezzi per capire quanti siano davvero gli account falsi sulla piattaforma – i cosiddetti bot, che non appartengono a persone vere ma sono riconducibili a un software. La questione dei bot è peraltro rilevante per la causa che coinvolge Twitter ed Elon Musk: a luglio l’imprenditore ha rinunciato alla sua proposta di comprare Twitter, adducendo come motivazione principale il fatto che l’azienda nasconderebbe il numero reale dei bot, che sarebbero molti di più del 5 per cento del totale dichiarato. L’avvocato di Zatko John Tye, fondatore del gruppo per la protezione di chi rivela informazioni riservate su istituzioni e società Whistleblower Aid, ha detto che Zatko non è in contatto con Musk.
Twitter ha negato le accuse che gli sono state rivolte da Zatko. Un portavoce della società ha detto a CNN: «Ciò che è stato detto su Twitter e sulle nostre pratiche di privacy e sicurezza dei dati è falso e pieno di inesattezze, e manca di importanti informazioni di contesto. Le accuse di Zatko e la loro tempistica opportunista sembrano pensate per attirare l’attenzione e danneggiare Twitter, i suoi clienti e i suoi azionisti».