Server voller Sicherheitslücken, unbegrenzter Zugriff auf sensible Daten von Nutzer:innen durch Mitarbeitende und lauwarme Maßnahmen gegen Spam und Desinformation: Es sind schwere Vorwürfe, die ein ehemaliger Sicherheitschef von Twitter gegen seinen früheren Arbeitgeber erhebt.
Die 84 Seiten starke Beschwerde des Whistleblowers liegt nun bei der US-Börsenaufsicht Securities and Exchange Commission (SEC), der Handelsbehörde Federal Trade Commission (FTC) und beim US-Justizministerium. Eine Fassung des Dokuments, die an den US-Kongress ging, wurde gestern teils geschwärzt von der Washington Post veröffentlicht.
Der als „Mudge“ bekannte Hacker Peiter Zatko wurde 2020 vom damaligen Twitter-Chef Jack Dorsey angestellt. Nach einem schweren Sicherheitsvorfall, bei dem die Twitter-Konten von Joe Biden, Jeff Bezos und anderen Prominenten gekapert wurden, sollte Zatko die Systeme des Kurznachrichtendienstes verbessern.
Ausrichten konnte Zatko jedoch offenbar nicht viel: Seine intern vorgebrachten Warnungen seien in den Wind geschlagen worden, zitiert die Washington Post mehrere ungenannte Insider. Anfang des Jahres entließ der neue Twitter-Chef Parag Agrawal den IT-Sicherheitsexperten aufgrund „schwacher Performance und Führung“.
Regelmäßige Einbrüche
Der Beschwerde zufolge weise Twitter „extreme, unerhörte Defizite“ auf und schütze seine digitalen sowie physischen Systeme nur unzureichend, darunter auch die Privatsphäre seiner Nutzer:innen. Öffentlich habe sich das Unternehmen jedoch gegenteilig und irreführend geäußert, so Zatko. Damit habe Twitter gegen US-Recht und Auflagen von Behörden verstoßen, unter anderem einem Vergleich mit der FTC aus dem Jahr 2011. Damals hatte sich das Unternehmen zu verbesserten Sicherheitsmaßnahmen verpflichtet, weil es seine Systeme unzureichend gegen Hackerangriffe abgesichert hatte.
Bereits mehrfach gelangten solche Vorfälle bei Twitter in die Schlagzeilen. Wiederholt wurden Konten hochrangiger Politiker:innen, Medienorganisationen oder Firmenchefs gehackt. Oft wurden damit betrügerische Nachrichten in die Welt gesetzt: So schickte etwa ein gefälschter Tweet der Nachrichtenagentur AP aus dem Jahr 2013 die Börse auf Talfahrt, schreibt die Washington Post. In anderen Fällen warben Prominente vermeintlich für Kryptowährungsscams oder andere dubiose Produkte.
Immer wieder kam der Feind aber von Innen. Erst jüngst wurde etwa ein ehemaliger Twitter-Manager verurteilt, der im Dienste Saudi-Arabiens tausende Konten mutmaßlicher Dissident:innen ausspionierte. Rund die Hälfte der 7.000 Vollzeitbeschäftigten habe weitreichenden Zugriff auf interne Systeme des sozialen Netzwerks, heißt es in der Beschwerde des Whistleblowers. Damit ließen sich sensible Daten von Nutzer:innen abgreifen oder sogar verändern.
Gefundenes Fressen für Angreifer
Auf etwa einem Drittel der Unternehmen-Laptops sei das automatisierte Einspielen von Sicherheitsupdates blockiert, moniert Zatko, und der vollständige Quelltext des Online-Dienstes finde sich auf tausenden Geräten. Das mache sie zu einem begehrten Ziel von Hackerangriffen – auch, weil Twitter offenbar kein Testsystem betreibt, sondern Änderungen am Produkt sofort live geschaltet werden.
All diese Risiken seien systematisch vertuscht oder heruntergespielt worden, heißt es in der Beschwerde. Sollten sich die Vorwürfe beweisen lassen, drohen dem Unternehmen Strafen in dreistelliger Millionenhöhe, schätzt ein Experte gegenüber der Washington Post. Konsequenzen könnte es auch in der EU geben: So könne Twitter nicht garantieren, dass Daten von Nutzer:innen nach Aufforderung restlos gelöscht werden, sondern womöglich auf Systemen eines zunehmend undurchsichtigen und unsicheren Server-Netzwerks lagern. Dies wäre ein Verstoß gegen die EU-Datenschutzgrundverordnung.
Auswirkungen könnten die Enthüllungen auch auf das Übernahmeangebot des Milliardärs Elon Musk haben. Dieser wehrt sich derzeit vor Gericht gegen den eigentlich fixierten Kauf des Online-Dienstes, weil ihn Twitter hinsichtich des Umgangs mit Spam- und Bot-Accounts belogen haben soll. Die Anzahl solcher Konten ist eine wichtige Metrik für Anleger und Werbekunden, weil sich mit ihnen kein Geld verdienen lässt – im Unterschied zu realen Nutzer:innen, die regelmäßig auf dem Dienst unterwegs sind.
Zatko zufolge habe Twitter weder ein Interesse noch die Mittel, die wirkliche Anzahl solcher Accounts herauszufinden. Einer ungenannten Quelle nach könnte eine wahrheitsgemäße Darstellung dem Image und Börsenwert des Unternehmens schaden, heißt es in der Beschwerde. Ganz anders lesen sich jedoch öffentliche Stellungnahmen des sozialen Netzwerks, die von „proaktiven, ausgereiften Systemen“ sprechen, die die Zahl ermittelten. Sie könnte also durchaus höher als die rund fünf Prozent liegen, die Twitter jedes Quartal an die SEC meldet.
Öffentliche Debatte dank Whistleblowing
Twitter selbst wies die Anschuldigungen zurück. In einer allgemein gehaltenen Stellungnahme sagte eine Sprecherin gegenüber der Washington Post, die Vorwürfe seien „voller Ungenauigkeiten“. Sicherheit und der Schutz der Privatsphäre seien seit langer Zeit Top-Prioritäten des Unternehmens. Zatko gehe es angeblich darum, so die Sprecherin, Twitter, seinen Kund:innen und Anleger:innen „opportunistisch“ Schaden zuzufügen.
Die jeweiligen Behörden untersuchen nun die Vorwürfe. Dabei genießt Zatko Whistleblowerschutz: Die US-Börsenaufsicht etwa betreibt extra ein Programm, das Hinweisgebenden Schutz vor Repressionen verspricht und auch anonyme Meldemöglichkeiten anbietet. Deutschland verhandelt aktuell Regeln zum Whistleblower-Schutz. Whistleblowing-Organisationen haben an einem bisher bekannten Entwurf jedoch viel zu kritisieren: Missstände würden sich etwa nicht sicher und anonym melden lassen.
Techdirt schreibt zum Musk’schen Aspekt:
> Plenty of attention is going to get paid to Mudge effectively trying to take Elon Musk’s side in the “bot or not” debate, but reading through the his whistleblowing document, it actually appears to confirm Twitter’s underlying claims, and undermine Musk’s (even as Mudge claims otherwise). That topic is complicated enough that I will be doing a separate follow up post to address just that, and therefore won’t address it further in this post.
Da bin ich echt gespannt, was Mike Masnick noch ausgräbt.
https://www.techdirt.com/2022/08/23/twitters-former-security-boss-drops-stunning-whistleblower-report/
Uns fliegt die gesamte schnelle (Zwangs-????)Digitalisierung „um die Ohren“.
Was war nochmal „Technikfolgenabschätzung“?
Na da hat ja Musk Futter für seine Klage.
Noch acht Wochen, dann geht das Verfahren vor dem Gericht in die erste Runde.
Popcorn.