Twitterが自社の個人情報保護策にある深刻な脆弱性について、米連邦規制当局やユーザーそして同社の取締役会を欺いていたとする告発状が、同社の元セキュリティ責任者により米証券取引委員会(SEC)に提出されました。
ドイツ国営の国際放送事業体の徳国之声の記事より。
告発をしたのは、『マッジ(Mudge)』の通称で知られる著名ハッカーで、Twitterの元セキュリティ責任者ピーター・ザトコ(Peiter Zatko)氏.
ピーター・ザトコ氏によると、Twitter社は旧式のサーバーや、サイバー攻撃への脆弱性を抱えたソフトウエアを使用している他、経営陣はハッキングの試みを受けた回数を米当局や取締役会に対して隠匿しようとしていました。
Twitterのセキュリティ、偽アカウントを特定・削除する能力、ユーザーや株主、連邦規制当局に向けた声明の信憑性について重大な疑問を投げかけています。
8月23日に公開された内部告発の中でザトコ氏は、Twitterのセキュリティを改善するために14ヶ月間試行錯誤したと記しています。 システムセキュリティの強化、サービスの信頼性向上、外国人工作員による侵入の阻止、偽ボットアカウントの測定と対策などです。
ザトコ氏は、1990年代に注目されたサイバーセキュリティの専門家で、米国防総省の国防研究局やGoogleで要職を歴任しました。
ザトコ氏は今年初め、「リーダーシップとパフォーマンスが低い」ことを理由にTwitter社から解雇されていました。 ザトコ氏の弁護士は、この解雇理由は事実無根だと主張しています。
ザトコ氏の批判のポイントは、次の5点です。
(1)極めて不十分なセキュリティとプライバシー保護システム
2011年、Twitterはユーザープライバシー保護に関する米国連邦取引委員会の調査を受けて、データセキュリティ保護の強化に同意しました。
ザトコ氏は、この分野でのTwitterの問題は解決されていないだけでなく、日に日に悪化していると指摘しました。
例えば、Twitter社の社内システムでは、業務に必要のないユーザーの個人情報にアクセスできる社員があまりにも多く、悪用される可能性が高い状況であると主張しています。
また、Twitter社は数年にわたり、電話番号やメールアドレスといったユーザーの個人情報を「マイニング」し、本来はセキュリティのためにのみ使用されるべきデータを、精密な広告やマーケティングのために使用していました。
(2)プレッシャーでサービス全体がダウンする可能性がある
Twitterの内部データシステムがあまりにも無秩序であり、同社の危機管理計画があまりにも不十分であるため、広範囲なダウンタイムや予期せぬシャットダウンがあればプラットフォーム全体がダウンしかねない
ザトコ氏によると、いわゆる「カスケード型」のデータセンター障害が発生すると、Twitter社の脆弱な情報システムにまで急速に広がることが懸念され、「すべてのセンターが同時に、たとえ短時間でもオフラインになった場合、Twitter社は、そのような事態を回避できるかどうかわからないのです」と述べています。
(3)規制当局、投資家、イーロン・マスクを欺いたこと
イーロン・マスク氏は、Twitter社の経営陣にはシステム内の偽アカウントの普及を正確にカウントするインセンティブがないとしているが、これは正しいとザトコ氏は主張します。
ザトコ氏は、Twitter社の幹部が、偽アカウントをより正確にカウントすることで同社の「イメージと評価」が損なわれることを懸念し、ボットによる偽アカウントの普及を効果的に測定する意志を持っていないと指摘しています。
(4)不満を持つ従業員に振り回されている
ザトコ氏は、2021年1月6日に米国で起きた右翼デモ隊による国会議事堂襲撃事件の際、暴徒を支持する一部のTwitter社員がソーシャルプラットフォームを貶めようとするのではないかと危惧していたと述べました。
すべてのTwitter社のエンジニアは、Twitterのコア機能に何らかの形でクリティカルにアクセスできるようになっており、プラットフォームを守るコアシステムへの攻撃の恐怖があったと述べています。
(5)外国政府がデータに容易にアクセスできる
Twitterが外国人エージェントを撃退することはおろか、プラットフォーム上の存在を特定することも困難であると指摘しています。
例えばザトコ氏は、正体不明の『機関』が、中国人ユーザーを危険にさらす可能性のあるデータへのアクセス権を得るという、不透明な現象について述べています。
++++++++++++++++++++++++++++++
Twitter社はザトコ氏の告発について「誤った物語」であると声明を出しました。
|
参考記事
<徳国之声>前高管爆料推特五大安全隐患