Şirketin eski güvenlik şefi Pieter Mudge Zatkonun geçtiğimiz ay Amerikan Kongresi ve devlet kurumlarına gönderdiği 200 sayfalık ifşa belgesi niteliğindeki rapor Amerikan basın kuruluşları CNN ve The Washington Post tarafından kamuoyuyla paylaşıldı. Zatko, raporunda şirketin kötü yönetildiğini belirterek bunun yarattığı kaotik ve tedbirsiz ortamı tanımladı. Zatko ayrıca şirketin siber güvenlik açıklarının Twitter yönetimi tarafından saklandığını ve bunun yabancı casusluk ve yanlış bilgilendirme kampanyalarına zemin hazırlayabileceğini iddia etti.
Twitterın kurucusu Jack Dorsey tarafından işe alınan Zatko ocak ayında düşük performans ve yetersiz yöneticilik gerekçesiyle Twitterdan kovulmuştu. Doğrudan şirketin tepe yöneticine bağlı olarak çalışan Zatko ise kovulma nedeninin şirketin güvenlik sorunlarıyla ilgili uyarılarda bulunmasına bağlıyor.
Dorseyin kasım ayında görevini bırakmasının ardından icra direktörü koltuğuna oturan şirketin eski baş teknoloji direktörü Parag Agrawal ile Zatko arasındaki anlaşmazlık, sorunların çıkış noktası olarak gösteriliyor.
Zatko, Agrawal ve yandaşlarının yönetim kurulu üyelerine şirketin siber güvenlikle ilgili durumu hakkında yazılı değil sözlü bilgi paylaşması talimatını verdiğini, tam bilgi paylaşmasını engellediğini, siber güvenlik alanında ilerleme kaydediliyor hissi yaratmak için verileri seçerek ve saptırarak sunmasını istediğini, hatta bir danışmanlık firması ile anlaşarak şirketin sorunlarını gizleyen rapor hazırlatmak suretiyle arkasından iş çevirdiklerini ileri sürüyor.
Yönetimsel ve teknik hatalar
Twitterın eski güvenlik şefi Zatko öncelikle çok sayıda personelin platformun merkezi kontrollerine erişimi bulunduğunu ve hassas bilgilerin yetersiz şekilde gözetildiğini ileri sürdü.
Zatko raporunda üretim ortamı olarak tanımlanan ve teknisyenlerin platformda değişiklik yapmasına izin veren iç erişimi kısıtlamanın olanaklarını araştırdığını ifade ediyor. Zatko Üretim ortamını korumak imkansızdı. Bütün teknisyenlerin erişimi var. Ortama kimin girdiği ve ne yaptığı belli değil. Kimse verinin nerede bulunduğunu ya da ne kadar kritik olduğunu bilmiyor ifadelerini kullandı.
Twitterın çalışanlarını bilgi güvenliği hatalarından sorumlu tutma becerisinden yoksun olduğunu savunan Zatko şirketin çalışanların iş bilgisayarları üzerinde kontrol ve görünürlüğünün de olmadığını, iç siber güvenlik raporlarında tahminen her 10 cihazın dördünde temel güvenlik standartlarının bulunmadığını gösterdiğini iddia etti.
Eski Facebook çalışanından şirket politikalarına dair çarpıcı iddialar: Öfkeden para kazanıyorlar
Twitterın sunucu altyapısının da dayanıksız olduğunu ileri süren Zatko şirketteki 500 bin sunucunun neredeyse yarısının eski yazılımlarla çalıştığını belirtti ve bu nedenle veri saklama ya da sağlayıcılar tarafından düzenli güvenlik güncellemesi için kriptolama yapma gibi temel güvenlik özelliklerin desteklenmediğinin altını çizdi.
Zatko ayrıca Twitterın hesap kapatan kullanıcılara ait bilgileri de düzgün silmediğini ileri sürdü. Bazı durumlarda şirketin bilginin izini kaybettiğini belirten Zatko, düzenleyici kurumlara da bilgilerin gerektiği şekilde silindiğine dair yanıltıcı bilgi verdiğini ifade etti.
Twitter-Musk davası ve iddiaların zamanlaması
Zatkonun bir diğer iddiası ise botlarla ilgili. Twitter yöneticilerinin platformda kaç adet bot yani otomatik bilgisayar programları tarafından yönetilen hesap bulunduğunu tam olarak anlayabilecek kaynağa sahip olmadıklarını dile getiren Zatko, bunu bilmek için bir motivasyonları olmadığını da ileri sürdü.
Botlarla ilgli bilgiler platformu satın almak için yaptığı 44 milyar dolarlık anlaşmadan vazgeçen Elon Musk ile Twitter arasındaki en büyük anlaşmazlık konusu. Zatkonun bu açıklamalarının Musk-Twitter davasının hemen öncesine denk gelmesi bazı kesimlerde soru işaretlerine neden oldu.
Nitekim Twitter tarafından iddialara karşı yapılan açıklamada Zatkonun iddiaları ve fırsatçı zamanlaması dikkat çekmek ve Twittera, hissedarlarına ve kullanıcılarına zarar vermek için tasarlandığı görünümü veriyor. Güvenlik ve gizlilik Twitterın şirket genelindeki önceliğidir ve hala yapmamız gereken çok şey var ifadeleri kullanıldı.
Yabancı tehditlere karşı zayıflık
Zatko, Kongre ve hükümet kurumlarına sunduğu raporda Twitterın olağandışı şekilde yabancı hükümetlerin istismarına ve Amerikan ulusal güvenliğini baltalamaya açık olduğunu ileri sürdü. Zatkoya göre şirket bünyesinde yabancı ajanlar bile çalışıyor olabilir. Zatko raporunda kovulmadan önce Amerikan hükümeti tarafından en az bir çalışanın yabancı bir hükümetin istihbaratı için çalıştığına dair delil sunduğunu ifade etti.
Zatkonun raporunun kamuoyuyla paylaşılmasından iki hafta önce eski bir Twitter yöneticisi Suudi Arabistanda casusluktan dolayı tutuklanmıştı.
Twitterın eski güvenlik şefi raporunda Rusyaya ilişkin iddialar da ileri sürdü.
Rusyanın 24 Şubatta Ukraynayı işgali öncesinde o dönemde baş teknoloji direktörü olarak çalışan Agrawalın kendisine Twitterın Rusyanın taleplerine uymasını önerdiğini iddia eden Zatko önerinin kabul edilmediğini belirtti, ancak şirketin şu anki tepe yöneticisinin Putin rejimine suç ortaklığı yapmayı önermesinin bile Amerikan ulusal güvenliğine karşı ne denli büyük kaygı oluşturduğunun altını çizdi.
