أكثر الادعاءات إدانة في تقرير المخبرين على تويتر
أكثر الادعاءات إدانة في تقرير المخبرين على تويتر
كما يزعم زاكتو أن تويتر ليس لديه بيئات تطوير أو اختبار شاملة لتجربة الميزات الجديدة وترقيات النظام قبل إطلاقها في برنامج الإنتاج المباشر. ونتيجة لذلك ، يصف Zatko موقفًا حيث سيعمل المهندسون جنبًا إلى جنب مع الأنظمة الحية و “يختبرون مباشرة على الخدمة التجارية ، مما يؤدي إلى انقطاع الخدمة بشكل منتظم.” وتزعم الوثائق أن نصف موظفي Twitter يتمتعون بامتياز الوصول إلى أنظمة الإنتاج الحية وبيانات المستخدم دون مراقبة حتى يتمكنوا من اكتشاف أي أعمال شريرة أو تتبع أي نشاط غير مرغوب فيه. تصف شكوى زاتكو موقع تويتر بأن لديه ما يقرب من 11000 موظف. يقول موقع Twitter إن لديه حوالي 7000 موظف حاليًا.
تؤكد الشكاوى أن هذه الممارسات الأمنية السيئة تفسر سجل تويتر للحوادث الأمنية وخروقات البيانات وعمليات الاستحواذ الخطيرة على حساب المستخدم.
“نحن نراجع الادعاءات المنقحة التي تم نشرها” ، الرئيس التنفيذي لشركة Twitter Parag Agrawal كتب في رسالة إلى موظفي تويتر هذا الصباح. “سوف نتبع جميع المسارات للدفاع عن نزاهتنا كشركة ووضع الأمور في نصابها الصحيح.”
يقول Twitter أن جميع أجهزة الكمبيوتر الخاصة بالموظفين تتم إدارتها مركزيًا وأن قسم تكنولوجيا المعلومات التابع لها يمكن أن يفرض تحديثات أو يفرض قيودًا على الوصول إذا لم يتم تثبيت التحديثات. وقالت الشركة أيضًا إنه قبل أن يتمكن الكمبيوتر من الاتصال بأنظمة الإنتاج ، يجب أن يجتاز فحصًا للتأكد من تحديث برامجه ، وأن الموظفين الذين لديهم “مبرر تجاري” فقط يمكنهم الوصول إلى بيئة الإنتاج “لأغراض محددة. “
كان آل ساتون ، الشريك المؤسس والرئيس التنفيذي للتكنولوجيا في Snapp Automotive ، مهندس برمجيات لموظفي تويتر من أغسطس 2020 إلى فبراير 2021. وأشار في تغريدة يوم الثلاثاء إلى أن Twitter لم يزيله أبدًا من مجموعة GitHub الموظف التي يمكنها إرسال تغييرات برمجية إلى رمز تدير الشركة على منصة التطوير. تمكن ساتون من الوصول إلى المستودعات الخاصة لمدة 18 شهرًا بعد تركه من الشركة ، وهو الأدلة المنشورة أن Twitter يستخدم GitHub ليس فقط للعمل العام ومفتوح المصدر ، ولكن للمشاريع الداخلية أيضًا. في غضون ثلاث ساعات تقريبًا من النشر حول الوصول ، ساتون ذكرت أنه قد تم إلغاؤه.
قال لـ WIRED: “أعتقد أن Twitter يتعامل مع ادعاءات Mudge بشكل غير رسمي ، لذلك اعتقدت أن مثالًا يمكن التحقق منه قد يكون مفيدًا للناس”. عندما سُئل عما إذا كانت اتهامات زاتكو تتبع خبرته الخاصة في العمل في تويتر ، أضاف ساتون ، “أعتقد أن أفضل شيء أقوله هنا هو أنه ليس لدي سبب للشك في مزاعمه.”
يؤكد الأمان والباحثون أنه على الرغم من وجود طرق مختلفة للتعامل مع أمن مهندسي بيئة الإنتاج ، إلا أن هناك مشكلة مفاهيمية إذا كان لدى الموظفين وصول واسع إلى بيانات المستخدم والرمز دون تسجيل مكثف. تتبع بعض المؤسسات نهج تقييد الوصول بشكل كبير ، بينما يستخدم البعض الآخر مزيجًا من الوصول الأوسع والمراقبة المستمرة ، ولكن يجب أن يكون أي من الخيارين خيارًا واعًا تستثمر فيه الشركة بكثافة. بعد أن انتهكت الحكومة الصينية Google في عام 2010 ، على سبيل المثال ، دخلت الشركة كلها في النهج السابق.
يقول بيري ميتزجر ، الشريك الإداري في شركة الاستشارات Metzger ، “ليس من غير المعتاد أن يكون للشركات سياسات ليبرالية نسبيًا حول منح المهندسين إمكانية الوصول إلى أنظمة الإنتاج ، ولكن عندما يفعلون ذلك ، فإنهم صارمون جدًا بشأن تسجيل كل ما يتم إنجازه” ، دودزويل وشركاه. يتمتع Mudge بسمعة طيبة ، لكن دعنا نقول إنه كان غير كفء تمامًا. سيكون الشيء السهل عليهم القيام به هو تقديم التفاصيل الفنية لأنظمة التسجيل التي يستخدمونها لوصول المهندس إلى أنظمة الإنتاج. لكن ما يصوره Mudge هو ثقافة حيث يفضل الناس تغطية الأشياء بدلاً من إصلاحها ، وهذا هو الجزء المزعج “.
يقول Zatko و Whistleblower Aid ، المجموعة القانونية غير الربحية التي تمثله ، إنهما يقفان بجانب الوثائق التي تم إصدارها يوم الثلاثاء. قال ليبي ليو ، الرئيس التنفيذي لشركة Whistleblower Aid ، في بيان: “لدى تويتر تأثير كبير على حياة مئات الملايين حول العالم ، ولديها التزامات أساسية تجاه مستخدميها والحكومة لتوفير منصة آمنة ومأمونة”.
في الوقت الحالي ، على الرغم من ذلك ، تثير الادعاءات مجموعة من المخاوف الخطيرة التي يبدو من غير المرجح تفسيرها بسرعة أو حلها بشكل شامل.