• November 29, 2024

Apakah Twitter Mengabaikan Tindakan Pencegahan Keamanan Dasar? Seorang ahli menjelaskan klaim pelapor

Peiter ‘Mudge’ Zatko adalah kepala petugas keamanan Twitter. Apa yang dia klaim dia temukan di sana adalah mimpi buruk keamanan

Mantan kepala petugas keamanan Twitter, Peiter “Mudge” Zatko, mengajukan pengaduan kepada pelapor dengan Komisi Sekuritas dan Bursa pada Juli 2022, menuduh perusahaan platform mikroblog tersebut memiliki kelemahan keamanan yang serius. Tuduhan itu menambah drama yang sedang berlangsung di Twitter potensi penjualan ke Elon Musk.

Zatko menghabiskan waktu puluhan tahun sebagai a peretas etis, peneliti swasta, penasihat pemerintah, dan eksekutif di beberapa perusahaan internet dan kantor pemerintah terkemuka. Dia bisa dibilang seorang legenda di industri keamanan siber. Sebagai hasil dari reputasinyaketika dia berbicara, masyarakat dan pemerintah biasanya mendengarkan – menggarisbawahi keseriusan keluhannya terhadap Twitter.

Sebagai mantan praktisi industri keamanan siber dan saat ini peneliti keamanan siberSaya yakin tuduhan Zatko yang paling memberatkan berpusat pada dugaan kegagalan Twitter dalam memiliki rencana keamanan siber yang kuat untuk melindungi data pengguna, menerapkan kontrol internal untuk melindungi dari ancaman orang dalam, dan memastikan sistem perusahaan mutakhir dan diperbarui dengan benar.

Zatko juga menuduh bahwa para eksekutif Twitter kurang terbuka mengenai insiden keamanan siber di platform tersebut ketika mereka memberi tahu regulator dan dewan direksi perusahaan. Dia mengklaim itu Twitter pertumbuhan pengguna diprioritaskan daripada pengurangan spam dan konten tidak diinginkan lainnya yang meracuni platform dan mengurangi pengalaman pengguna. Keluhannya juga menimbulkan kekhawatiran mengenai praktik bisnis perusahaan.

Dugaan kegagalan keamanan

Tuduhan Zatko memberikan gambaran yang meresahkan tidak hanya mengenai kondisi keamanan siber Twitter sebagai platform media sosial, namun juga kesadaran keamanan Twitter sebagai sebuah perusahaan. Kedua poin tersebut relevan mengingat posisi Twitter dalam komunikasi global dan perjuangan yang sedang berlangsung untuk melawannya ekstremisme online Dan disinformasi.

Mungkin klaim Zatko yang paling signifikan adalah klaimnya bahwa hampir separuh karyawan Twitter memiliki akses langsung ke data pengguna dan kode sumber Twitter. Praktik keamanan siber yang telah teruji oleh waktu tidak memungkinkan banyak orang dengan tingkat keamanan seperti ini izin “root” atau “istimewa”. untuk mendapatkan akses ke sistem dan data sensitif. Jika benar, ini berarti Twitter bisa saja siap untuk dieksploitasi baik dari dalam atau oleh pihak luar yang dibantu oleh orang-orang di dalam Twitter yang mungkin belum diperiksa dengan baik.

Zatko juga mengklaim bahwa pusat data Twitter mungkin tidak seaman, tangguh, atau dapat diandalkan seperti yang diklaim perusahaan. Dia memperkirakannya hampir setengah dari 500.000 server Twitter di seluruh dunia tidak memiliki kontrol keamanan dasar, seperti penggunaan perangkat lunak terkini dan didukung vendor atau mengenkripsi data pengguna yang tersimpan di dalamnya. Dia juga mencatat bahwa kurangnya rencana kesinambungan bisnis yang kuat dari perusahaan berarti bahwa jika beberapa pusat datanya gagal karena insiden dunia maya atau bencana lainnya, hal ini dapat menyebabkan “acara akhir perusahaan eksistensial.”

Ini hanyalah beberapa klaim yang dibuat dalam pengaduan Zatko. Jika klaimnya benar, Twitter telah gagal dalam Keamanan Siber 101.

Kekhawatiran akan campur tangan pemerintah asing

Tuduhan Zatko juga bisa menjadi masalah keamanan nasional. Dalam beberapa tahun terakhir, Twitter telah digunakan untuk menyebarkan disinformasi dan propaganda selama peristiwa global seperti pandemi Dan pemilu nasional.

Misalnya, laporan Zatko mengatakan bahwa pemerintah India memaksa Twitter untuk mempekerjakan agen pemerintah, yang akan memiliki akses ke sejumlah besar data sensitif Twitter. Sebagai tanggapan, India terkadang menjadi tetangga yang bermusuhan Pakistan dituduh India mencoba menyusup ke sistem keamanan Twitter “dalam upaya membatasi kebebasan mendasar.”

Mengingat jejak global Twitter sebagai platform komunikasi, negara lain seperti Rusia dan Tiongkok mungkin mengharuskan perusahaan tersebut untuk menyewa agen pemerintahnya sendiri sebagai syarat agar perusahaan tersebut dapat beroperasi di negara mereka. Tuduhan Zatko tentang keamanan internal Twitter meningkatkan kemungkinan bahwa penjahat, aktivis, pemerintah yang bermusuhan, atau pendukungnya ingin mengeksploitasi sistem dan data pengguna Twitter dengan merekrut atau memeras karyawannya. masalah keamanan nasional.

Lebih buruk lagi, informasi Twitter sendiri tentang penggunanya, minat mereka, dan dengan siapa mereka mengikuti dan berinteraksi di platform dapat ditargetkan untuk kampanye disinformasi, pemerasan atau tujuan jahat lainnya. Penargetan pihak asing terhadap perusahaan-perusahaan terkemuka dan karyawannya telah menjadi perhatian utama kontra-intelijen dalam komunitas keamanan nasional selama beberapa dekade.

Rontok

Apapun hasil dari pengaduan Zatko di Kongres, SEC atau lembaga federal lainnya, hal tersebut sudah terjadi bagian dari dokumen hukum terbaru Musk saat dia mencoba mundur dari pembelian Twitter.

Idealnya, sehubungan dengan pengungkapan ini, Twitter akan mengambil tindakan korektif untuk meningkatkan sistem dan praktik keamanan siber perusahaan. Langkah pertama yang baik yang dapat diambil perusahaan adalah meninjau dan membatasi siapa yang memiliki akses root ke sistem, kode sumber, dan data pengguna hingga jumlah minimum yang diperlukan. Perusahaan juga harus memastikan bahwa sistem produksinya selalu mutakhir dan siap secara efektif menghadapi segala jenis situasi darurat tanpa mengganggu operasi globalnya secara signifikan.

Dari perspektif yang lebih luas, keluhan Zatko menggarisbawahi peran penting dan terkadang tidak nyaman yang dimainkan oleh keamanan siber dalam organisasi modern. Para profesional keamanan siber seperti Zatko memahami bahwa tidak ada perusahaan atau lembaga pemerintah yang menyukai publisitas mengenai masalah keamanan siber. Mereka cenderung berpikir panjang dan keras mengenai perlu atau tidaknya mengangkat isu keamanan siber seperti ini dan bagaimana dampaknya. Pada kasus ini, Zatko mengatakan wahyunya mencerminkan “pekerjaan yang harus dilakukannya” sebagai kepala keamanan untuk platform media sosial yang menurutnya “penting bagi demokrasi.”

Bagi perusahaan seperti Twitter, berita buruk tentang keamanan siber sering kali menimbulkan mimpi buruk bagi hubungan masyarakat yang dapat memengaruhi harga saham dan posisi mereka di pasar, belum lagi kepentingan regulator dan anggota parlemen. Bagi pemerintah, pengungkapan informasi seperti ini dapat menyebabkan kurangnya kepercayaan terhadap lembaga-lembaga yang dibentuk untuk melayani masyarakat, dan juga kemungkinan menimbulkan gangguan politik.

Sayangnya, cara masalah keamanan siber ditemukan, diungkapkan, dan ditangani masih merupakan proses yang sulit dan terkadang kontroversial, serta tidak ada solusi yang mudah baik bagi para profesional keamanan siber maupun organisasi saat ini. – Rappler.com

Artikel ini awalnya muncul di Percakapan.

Richard FornoDosen Senior Ilmu Komputer dan Teknik Elektro, Universitas Maryland, Baltimore County


slot gacor