När den tidigare Twitter-vd: n Jack Dorsey anställde Peiter Zatko som Twitters säkerhetschef 2020, trodde att hackaren som blev cybersäkerhetsspecialist kunde hjälpa företaget att förbättra sin säkerhet hållning. Men två år senare kunde Peiter antingen inte hjälpa Twitter eller så ville företaget inte ha hans hjälp. Han fick sparken för ineffektivt ledarskap och dålig prestation, men Zatko hävdar något annat.
Han lämnade in ett klagomål till Securities and Exchange Commission (SEC), Federal Trade Commission (FTC) och justitiedepartementet och anklagade Twitter för avsiktlig okunnighet och stora säkerhetsbrister.
Det är en litani av anklagelser, var och en mer fördömande än den andra. Här är fler avslöjanden från Zatkos åtal mot Twitter.
1. Farliga säkerhetssårbarheter
Bland de allvarligaste anklagelserna Zatko riktade mot Twitter är att företaget inte gör mycket för att skydda sina 238 miljoner dagliga användare (som inkluderar statschefer, statliga myndigheter och inflytelserika offentliga personer) mot hackare.
Han hävdar att hälften av Twitter-servrarna kör föråldrad programvara och nästan en fjärdedel av de anställda har inaktiverat programvaruuppdateringar på sina system som kan ge viktiga säkerhetskorrigeringar.
Om det är sant kan Twitter hållas i strid med 2011 års avtal med FTCom konsumentsäkerhet. Avtalet krävde att företaget skulle skapa och underhålla en solid informationssäkerhetsmodell som skulle granskas av en oberoende revisor under 10 år.
2. Problematiska interna åtkomster
En faktor som gör plattformen sårbar är den omfattande och onödiga tillgång som anställda enligt uppgift har till produktionsmiljön.
Zatko hävdar att alldeles för många anställda, inklusive alla ingenjörer och ungefär hälften av arbetsstyrkan, arbetar direkt på plattformens liveprodukt och kommer åt faktiska användardata. Detta är ovanligt i teknikföretag som Meta och Google där utvecklare använder dummy-data för att koda och testa i specialiserade sandlådor utan att påverka huvudprodukterna.
Den dåligt spårade tillgången till kärnföretagens programvara har lett till pinsamma hacks tidigare, inklusive befälet av högprofilerade användarkonton som Bill Gates, Elon Musk och Joe Biden.
3. Vilseledande skräppost och antal botar
Twitter-whistleblowerens avslöjande anklagar företaget för att vilseleda investerarna och allmänheten över mängden spam och botar på plattformen.
Tidigare hade Twitter hävdat att endast fem procent av kontona på plattformen är bots, men Zatko säger att det verkliga antalet är mycket högre. Han hävdar att företaget prioriterar användartillväxt framför att minska spam och att chefer tjänar bonusar värda miljoner för att öka den dagliga användaraktiviteten.
Denna anklagelse ger tillräckligt med ammunition för att Elon Musk i sin juridiska kamp för att dra sig ur en affär på 44 miljarder dollar att köpa företaget.
4. Internationella hot
Pieter Zatko hävdar att utländska regeringar som får tillgång till plattformen eller finner hävstång mot den kan göra enorm skada på USA: s nationella säkerhet och intressen. Hotet är inte teoretiskt när man tar hänsyn till tidigare incidenter och företagets svaga cybersäkerhetshållning.
Rapporten hävdar att den amerikanska regeringen kort innan Zatko fick sparken tipsade Twitter om att minst en av dess anställda var agent för en utländsk underrättelsetjänst. Zatko tror också att företaget anställt två personer som var agenter för den indiska regeringen.
På samma sätt hävdar Zatko att före Rysslands invasion av Ukraina, Parag Agrawal, som var Twitters CTO vid tid, föreslog att göra eftergifter till Ryssland för att växa i landet till priset av censur eller övervakning.
Det är inte första gången Twitter har anklagats för att hjälpa länder att censurera eller övervaka plattformen för monetära förmåner. Bara två veckor före Zatkos avslöjande dömde en jury en tidigare Twitter-chef för spioneri för Saudiarabien.
Vad säger Twitter om anklagelserna?
Zatkos rapport innehåller dussintals allvarliga anklagelser mot Twitters förseelser, inklusive säkerhetssårbarheter, dålig åtkomstkontroll, vilseledande mätning av spam och botkonton, och Mer.
Men företagets vice vd för kommunikation, Rebecca Hahn, berättade Washington Post att Zatkos avslöjande saknar "viktigt sammanhang". Hahn menar att "anklagelserna och den opportunistiska timingen verkar utformade för att fånga uppmärksamhet och orsaka skada på Twitter" och att "säkerhet och integritet länge har varit företagsomfattande prioriteringar".
Agrawal förnekade också anklagelserna mot Twitter och kallade det "en falsk berättelse som är full av inkonsekvenser och felaktigheter." I ett memo till anställda betonade han att företaget kommer att följa alla vägar för att försvara sin integritet och sätta rekord hetero.
Vad kan vi lära oss av Twitter Whistleblower?
Viktigt är att vi alla måste vara medvetna om att vi inte kan lita enbart på andra parter för att hålla oss säkra online. Twitter kan eller kanske inte lämnar sina användare öppna för hackare, men i slutändan måste vi var och en ta personligt ansvar med vilken data vi lämnar över till företaget – och faktiskt alla organisationer som ber om mer personlig information än vad som är nödvändig.