새롭게 공개된 트위터 내부 고발자의 소장에 포함된 많은 불쾌한 주장 중 하나는 1월 6일 미국 의회 사당에 대한 공격에서 잠재적인 내부 관계자의 위협으로부터 보호하기 위해 에 트위터가 운영 환경을 봉쇄하지 못했다는 불안한 노출입니다. Twitter의 전 보안 책임자 인 Peiter “Mudge” Zatko는 연방 거래위원회 (FTC), 미국 증권 거래위원회 (SEC) 및 사법부에 제출 된 광범위한 새로운 소장으로 Twitter가 심각한 사이버 보안의 과실이라고 비난했습니다. 불충분한 데이터 보호에서 FTC 위반에 이르기까지 다양한 주장 중 불만은 Twitter가 직원이 부정 행위를 할 때 자신을 보호하는 능력이 부족하다는 것을 나타냅니다. .

이 문제는 폭력적인 폭도가 미국 의회 사당을 공격한 후 1월 6일에 발견되었습니다. 예방 조치로 Zatko는 Twitter의 내부 시스템을 잠그고 싶었지만 옵션이 아니라는 것을 알았습니다.

Zatko는 폭동을 지원했을 수있는 직원의 내부 위협으로부터 보호하기 위해 트위터가 프로덕션 환경을 밀폐하는 방법을 엔지니어링 담당 임원에게 물었다고 말했다. 소장에 따르면 국회 의사당에 대한 공격이 진행 중이기 때문에 Zatko는 직원이 생산 환경에 액세스하거나 생산 환경에 손상을 입히기를 원하지 않았습니다.

그러나 그가 발견 한 것은 그러한 잠금이 어려울뿐만 아니라 불가능하다고합니다.

‘모든 엔지니어가 액세스할 수 있었습니다’라는 소장에 설명되어 있습니다. “누가 환경에 들어갔는지, 무엇을 했는지는 기록되지 않았습니다. [Peiter Zatko] 위험이 높아지는 이 시기에 악당이나 불만을 가진 엔지니어로부터 서비스의 무결성과 안정성을 보호하기 위해 무엇을 할 수 있는지 물었는데, 그것은 기본적으로 아무것도 없다는 것을 알았습니다. 로그가 없었고 데이터가 어디에 있는지, 그것이 중요한지 아무도 알지 못했습니다. 모든 엔지니어는 어떤 방식으로든 프로덕션 환경에 중요한 액세스 권한을 가졌습니다.

트위터는 2020년 후반, 조 바이덴, 빌 게이츠, 이론 마스크 등 유명인 트위터 계정을 침해한 유명한 공격을 받아 보안 부문을 이끌기 위해 Zatko를 고용했습니다. Zatko가 Twitter에 재적했을 때 보안 전문가는 기본 보안 제어 및 절차가 부족한 회사를 목격했다고 주장하고 약 5,000 명 (당시 Twitter 직원의 절반)이 “기밀 성적인 라이브 프로덕션 시스템 및 사용자에 대한 액세스 권한이 부여되었습니다. 그들의 일을 하기 위하여 자료.

이는 일반적으로 프로덕션 환경에 대한 액세스를 잠그는 표준 엔지니어링 및 보안 원칙에 위배됩니다. Twitter 규모의 기술 기업 엔지니어는 일반적으로 라이브 고객 데이터가 아닌 준비 환경과 테스트 데이터를 활용합니다. Twitter는 그렇지 않았다, Zatko가 발견했다. 대신, 직원이 라이브 고객 데이터 및 기타 기밀 정보를 사용하여 프로덕션 환경에서 새로운 소프트웨어를 직접 구축, 테스트 및 개발하고 있음을 발견했다고 그는 말했다. 게다가 이 접근의 대부분은 감시도 기록도 되지 않았다고 불만은 보여준다.

트위터 보안이 침해된 결과, Zatko는 국회 의사당 폭동시 내부 관계자의 위협에 취약했다고 말합니다.

불만은 트위터 로깅이 부족하여 직원이 잡히지 않고도 다양한 행동을 취할 수 있었을 가능성도 강조합니다. 2020 년 7 월 15 일에 발생한 cryptocurrency 회사 및 기타 유명 인사의 Twitter 계정에 대한 해킹 사건에 대한 뉴욕 주 금융 서비스 국 (DFS)의 조사를 통해 적절한 로깅과 관련된 Twitter 문제는 이미 알려져 있습니다. 네. DFS는 Twitter가 “적절한 액세스 제어 및 ID 관리 및 적절한 보안 모니터링”을 포함한 적절한 사이버 보안 보호가 부족하다는 것을 발견했습니다.

또한 2020년 트위터 해킹 시점에 트위터에 최고 정보 보안 책임자(CISO)가 없었다는 사실이 지적되었습니다. Zatko는 트위터가 2011년 FTC 동의 명령을 위반한 방법 중 하나로 소송에서 이를 신고했습니다. (FTC 명령은 2009년에 발생한 여러 보안 사고로 인해 해커가 Twitter 시스템을 관리 및 제어할 수 있게 된 후 발행되었습니다. FTC 계약 조건에 따라 Twitter는 포괄적인 정보 보안 프로그램 설립 및 유지하라는 명령을 받았습니다. 외부 감사인)

소장에 따르면, 2020년에 공격을 받았을 때, Twitter에는 CISO도 정보 보안과 프라이버시 엔지니어링에 정통한 간부도 없었다. 이 회사는 2019년 12월 사이버 레지리언스 회사인 Arceo에 입사하기 위해 퇴직한 후 이전 보안 책임자인 Mike Convertino를 잃었습니다. Twitter는 2020년 9월 말까지 후임을 고용하지 않고 클라우드 데이터 관리 회사 Rubrik의 전직인 Rinki Sethi를 CISO로 채택했습니다. 즉, Twitter는 1월 6일까지 1년의 대부분을 최고 정보 보안 책임자 없이 보냈다는 것입니다.

Zatko는 2020년 11월 Twitter에 참가하여 보안을 이끌었습니다.

소장에 따르면 CISO가 없을 때 당시 Twitter의 최고 기술 책임자이자 현재 CEO인 Parag Agrawal이 2020년 Twitter 해킹으로 밝혀진 보안 취약점을 해결하기 위한 주요 의사 결정자였습니다.

그 후, 2021년 11월에 잭 도시가 사직한 후, 아그라와르가 CEO로 취임한 뒤, 올해 1월에 아그라와르가 Twitter의 경영진을 흔들었을 때, 자토코와 세티 씨 모두 회사를 떠났다. Twitter는 Sethi가 은퇴 한 후 잠정적으로 Lea Kissner를 CISO로 임명했습니다.

Twitter는 Zatko의 내부 고발을 TechCrunch에 제공된 것을 포함한 언론을 향한 성명으로 ‘모순과 부정확함으로 가득한’ ‘거짓 이야기’로 거부했습니다.

아그라와르도 이와 같은 메시지를 보냈습니다. 아래에 포함된 회사 직원에게 메모.

Leave a Reply

Your email address will not be published.