Technologie

Twitter ist anfällig für russischen und chinesischen Einfluss, sagt ein Whistleblower

Twitter ist außergewöhnlich anfällig für die Ausbeutung durch ausländische Regierungen in einer Weise, die die nationale Sicherheit der USA bedroht, und könnte sogar ausländische Spione auf seiner Gehaltsliste haben, so Peiter „Mudge“ Zatko, der Whistleblower im Zentrum einer massiven öffentlichen Offenlegungsbemühung, die am Dienstag berichtet wurde von CNN und der Washington Post.

Eine Kombination aus schwachen Cybersicherheitskontrollen und schlechtem Urteilsvermögen hat Twitter wiederholt zahlreichen Risiken ausländischer Geheimdienste ausgesetzt, so Zatko, der von November 2020 bis zu seiner Entlassung im Januar Sicherheitschef von Twitter war. Von der Entgegennahme von Geldern aus nicht vertrauenswürdigen chinesischen Quellen bis hin zum Vorschlag, dass das Unternehmen russischen Zensur- und Überwachungsforderungen nachgibt, haben Twitter-Manager, darunter der jetzige CEO Parag Agrawal, Twitter-Nutzer und -Mitarbeiter wissentlich gefährdet, um kurzfristiges Wachstum zu erreichen, behauptet Zatko.

    CNN bat Twitter um Kommentare zu mehr als 50 verschiedenen Fragen als Antwort auf die allgemeine Offenlegung, zusammen mit spezifischen Fragen zu den in dieser Geschichte umrissenen Anschuldigungen. Twitter antwortete nicht auf die Fragen von CNN zu Risiken ausländischer Geheimdienste, aber ein Unternehmenssprecher sagte, Zatkos Anschuldigungen seien insgesamt „mit Ungereimtheiten und Ungenauigkeiten durchsetzt und es fehle an wichtigem Kontext“.

      Die Vorwürfe zur nationalen Sicherheit sind Teil einer explosiven, fast 200-seitigen Offenlegung gegenüber dem Kongress, dem Justizministerium und den Bundesbehörden, in denen die Führung von Twitter beschuldigt wird, kritische Schwachstellen von Unternehmen zu vertuschen und die Öffentlichkeit zu betrügen. Zatko, ein langjähriger Cybersicherheitsexperte, der leitende Positionen bei Google, Stripe und dem Verteidigungsministerium innehatte, reichte seine Offenlegung letzten Monat bei den Behörden ein, nachdem er monatelang erfolglos versucht hatte, innerhalb von Twitter Alarm über die Gefahren zu schlagen, denen es ausgesetzt war. Während die Offenlegung an den Kongress so bearbeitet wurde, dass sensible Details in Bezug auf die Behauptungen zur nationalen Sicherheit weggelassen wurden, wurde laut der Offenlegung eine umfassendere Version mit unterstützenden Dokumenten an den Geheimdienstausschuss des Senats und an die nationale Sicherheitsabteilung des Justizministeriums übermittelt. Peiter Zatko, in der Computer-Hacker-Community als Mudge bekannt, posiert am 22. August für ein Porträt. Weiterlesen Unter seinen Anschuldigungen behauptet die Enthüllung des Whistleblowers, die US-Regierung habe Twitter kurz vor Zatkos Entlassung spezifische Beweise vorgelegt, vielleicht zumindest einen seiner Mitarbeiter mehr, arbeiteten für den Geheimdienst einer anderen Regierung. Die Offenlegung sagt nicht aus, ob Twitter auf den Tipp der US-Regierung reagiert hat oder ob der Tipp glaubwürdig war. Die Enthüllung durch den Whistleblower könnte die parteiübergreifende Besorgnis in Washington über ausländische Gegner und die Cybersicherheitsbedrohung, die sie für die Amerikaner darstellen, weiter schüren. In den letzten Jahren haben sich politische Entscheidungsträger Sorgen darüber gemacht, dass autoritäre Regierungen die Daten von US-Bürgern von gehackten oder nachgiebigen Unternehmen abschöpfen; Nutzung von Technologieplattformen zur subtilen Beeinflussung oder Verbreitung von Desinformationen unter den US-Wählern; oder das Ausnutzen unbefugten Zugriffs, um Informationen über Menschenrechtskritiker und andere wahrgenommene Bedrohungen für nichtdemokratische Regime zu sammeln.

        Die angeblichen Fehler von Twitter könnten möglicherweise die Tür zu allen drei Möglichkeiten öffnen. Als Reaktion auf die Offenlegung versprach der oberste Republikaner des Geheimdienstausschusses des Senats, Marco Rubio, die Anschuldigungen weiter zu untersuchen. „Twitter hat eine lange Erfolgsgeschichte darin, wirklich schlechte Entscheidungen in allen Bereichen zu treffen, von Zensur bis hin zu Sicherheitspraktiken. Das ist ein großes Problem angesichts der Fähigkeit des Unternehmens, den nationalen Diskurs und globale Ereignisse zu beeinflussen“, sagte Rubio. „Wir behandeln die Beschwerde mit der Ernsthaftigkeit, die sie verdient, und freuen uns darauf, mehr zu erfahren.“ In den Monaten vor dem Einmarsch Russlands in die Ukraine schien Agrawal – damals Chief Technology Officer von Twitter – bereit zu sein, dem Kreml erhebliche Zugeständnisse zu machen, so Zatkos Offenlegung. Agrawal habe Zatko vorgeschlagen, dass Twitter russischen Forderungen nachkomme, die zu einer breit angelegten Zensur oder Überwachung führen könnten, behauptet Zatko und erinnert sich an eine Interaktion, die er damals mit Agrawal hatte. Die Offenlegung enthält keine Einzelheiten darüber, was Agrawal genau vorgeschlagen hat. Aber im vergangenen Sommer hat Russland ein Gesetz verabschiedet, das Technologieplattformen unter Druck setzt, lokale Büros im Land zu eröffnen oder mit potenziellen Werbeverboten konfrontiert zu werden, ein Schritt, von dem westliche Sicherheitsexperten sagten, dass es Russland einen größeren Einfluss auf US-Technologieunternehmen verschaffen könnte. Parag Agrawal, CEO von Twitter, bei Allen &  Firma Sun Valley Konferenz am 7. Juli in Sun Valley, Idaho.Parag Agrawal, CEO von Twitter, auf der Allen & Company Sun Valley Conference am 7. Juli in Sun Valley, Idaho sah es immer noch als alarmierendes Zeichen dafür, wie weit Twitter laut der Offenlegung bereit war, im Streben nach Wachstum zu gehen. „Die Tatsache, dass der derzeitige CEO von Twitter sogar angedeutet hat, dass Twitter mit dem Putin-Regime mitschuldig wird, gibt Anlass zur Sorge über die Auswirkungen von Twitter auf die nationale Sicherheit der USA“, heißt es in Zatkos Offenlegung. Twitter befindet sich auch in China in einer kompromittierten Position, behauptet die Offenlegung gegenüber dem Kongress. Das Unternehmen hat angeblich Finanzmittel von namentlich nicht genannten „chinesischen Einrichtungen“ angenommen, die nun Zugang zu Informationen haben, die letztendlich Menschen in China entlarven könnten, die die staatliche Zensur illegal umgehen, um Twitter anzuzeigen und zu nutzen. „Twitter-Führungskräfte wussten, dass die Annahme von chinesischem Geld die Gefahr birgt, Benutzer in China zu gefährden“, heißt es in der Offenlegung. „Mr. Zatko wurde gesagt, dass Twitter zu diesem Zeitpunkt zu abhängig von der Einnahmequelle sei, um etwas anderes zu tun, als zu versuchen, sie zu steigern.“ Zatkos 80-seitige Offenlegung, in der er seine Anschuldigungen darlegt, wird zusammen mit fast zwei Dutzend weiteren unterstützenden Dokumenten nur zwei Wochen nach der Verurteilung eines ehemaligen Twitter-Managers wegen Spionage für Saudi-Arabien veröffentlicht. Der ehemalige Mitarbeiter hatte angeblich seinen Zugriff auf Twitter-Daten missbraucht, um Informationen über mutmaßliche saudische Dissidenten zu sammeln, einschließlich ihrer Telefonnummern und E-Mail-Adressen, und diese Informationen angeblich an die saudische Regierung weitergegeben. Diese Sicherheitsverletzung, die erstmals 2019 aufgedeckt wurde, unterstreicht die Schwere der Anschuldigungen von Zatko, die Twitter als eine äußerst durchlässige Organisation mit alarmierend laxen Cybersicherheitskontrollen im Vergleich zu ihren Konzernkollegen beschreiben. Um ihre Arbeit zu erledigen, hat etwa die Hälfte der Twitter-Mitarbeiter laut der Offenlegung übermäßige Berechtigungen, die den Zugriff auf Live-Benutzerdaten und das aktive Twitter-Produkt gewähren, eine Praxis, die laut Zatko eine erhebliche Abweichung von den Standards anderer großer Technologieunternehmen darstellt, bei denen der Zugriff möglich ist wird streng kontrolliert und die Mitarbeiter arbeiten größtenteils in speziellen Sandboxes, die vom verbraucherorientierten Produkt isoliert sind. „Jeder Ingenieur“ des Unternehmens, so Zatko, „hat eine vollständige Kopie des proprietären Quellcodes von Twitter auf seinem Laptop.“ Twitter hat CNN mitgeteilt, dass der Umgang mit Quellcode nicht außerhalb der Branchenpraxis liegt und dass die Technik- und Produktteams von Twitter berechtigt sind, auf die Live-Plattform des Unternehmens zuzugreifen, wenn sie eine bestimmte geschäftliche Rechtfertigung dafür haben. Das Unternehmen sagte auch, dass es automatisierte Überprüfungen einsetzt, um sicherzustellen, dass Laptops mit veralteter Software nicht auf die Produktionsumgebung zugreifen können und dass Mitarbeiter Änderungen am Live-Produkt von Twitter nur vornehmen dürfen, nachdem der Code bestimmte Aufzeichnungs- und Überprüfungsanforderungen erfüllt. In der Offenlegung wird behauptet, dass Twitter Probleme hat, seine Cybersicherheitsrisiken zu reduzieren, weil es nicht kontrollieren kann und oft nicht weiß, was Mitarbeiter auf ihren Arbeitscomputern tun. Daten, die Zatko aus den internen Cybersicherheits-Dashboards von Twitter offengelegt hat, zeigen, dass vier von zehn Mitarbeitergeräten – die Tausende von Laptops repräsentieren – keine grundlegenden Schutzmaßnahmen wie Firewalls und automatische Software-Updates aktiviert haben. Mitarbeiter können auch Software von Drittanbietern mit wenigen technischen Einschränkungen auf ihren Computern installieren, heißt es in der Offenlegung, was angeblich mehrfach dazu geführt hat, dass Mitarbeiter auf Geheiß externer Organisationen nicht autorisierte Spyware auf ihren Geräten installiert haben. In seinen Antworten an CNN sagte Twitter, dass Mitarbeiter Geräte verwenden, die von anderen IT- und Sicherheitsteams beaufsichtigt werden, um zu verhindern, dass sich ein Gerät mit sensiblen internen Systemen verbindet, wenn darauf veraltete Software ausgeführt wird. Twitter verfügt über interne Sicherheitstools, die vom Unternehmen regelmäßig und alle zwei Jahre von externen Prüfern getestet werden, so eine Person, die mit Zatkos Amtszeit im Unternehmen vertraut ist. Die Person fügte hinzu, dass einige von Zatkos Statistiken zur Gerätesicherheit nicht glaubwürdig seien und von einem kleinen Team stammen, das die bestehenden Sicherheitsverfahren von Twitter nicht richtig berücksichtigt habe. John Tye, Gründer von Whistleblower Aid und Anwalt von Zatko, sagte gegenüber CNN: „Wir stehen absolut zum Inhalt von Mudges Offenlegung.“ Eine Person, die Twitter verwendet.Eine Person, die Twitter nutzt. Unzulässiger Zugriff und begrenzte Überwachung des Verhaltens von Mitarbeitern schaffen Möglichkeiten für Insider-Bedrohungen wie den saudischen Agenten, aber die saudische Regierung war nicht die einzige, die sich um einen besseren Zugriff auf die internen Systeme von Twitter bemühte, behauptet Zatko. Die indische Regierung hat Twitter erfolgreich „gezwungen“, Agenten einzustellen, die in ihrem Namen arbeiten, heißt es in der Offenlegung, „die (aufgrund der grundlegenden architektonischen Mängel von Twitter) Zugang zu riesigen Mengen sensibler Daten von Twitter hätten“. Twitter hat diese Tatsache aus seinen öffentlichen Transparenzberichten zurückgehalten, fügt die Offenlegung hinzu. Im vergangenen Jahr hat die indische Regierung darauf gedrängt, ihre Kontrolle über soziale Medien innerhalb ihrer Grenzen auszuweiten, mit Twitter über das Entfernen von Inhalten gestritten, Technologieplattformen gezwungen, Verbindungsleute für Rechts- und Strafverfolgungsbehörden im Land einzustellen, und sogar Razzien in den lokalen Büros von Twitter durchgeführt. Die Person, die mit Zatkos Amtszeit vertraut ist, sagte, die indischen Regierungsagenten, auf die sich die Offenlegung beziehe, seien in Wirklichkeit die nach indischem Recht erforderlichen Verbindungspersonen für Rechts- und Strafverfolgungsbehörden. Viele Technologieplattformen sind globale Unternehmen, und in einigen Fällen, wie bei Russlands Versuch, Technologieunternehmen zu zwingen, lokale Zentralen zu eröffnen, können ihre Mitarbeiter unwissentlich zu Druckpunkten für Regierungen werden, die Druck auf die Unternehmen ausüben wollen. Unternehmens- und Benutzerdaten, die auf Mitarbeitercomputern gespeichert sind oder von diesen abgerufen werden, können dem Risiko ausgesetzt sein, dass lokale Behörden darauf zugreifen oder sie beschlagnahmen. Die Mitarbeiter selbst oder ihre Familien können bedroht oder gezwungen werden. Aber die einzigartigen Sicherheitslücken von Twitter haben dazu geführt, dass die lokalen Büros zu besonders sensiblen Zielen geworden sind, behauptet Zatko. Indien, Nigeria und Russland haben alle „mit unterschiedlichem Erfolg versucht, Twitter zu zwingen, Einheimische einzustellen [full-time employees] das könnte als Druckmittel genutzt werden“, heißt es in der Offenlegung. Die Geschäftspraktiken von Twitter untergraben nicht nur die Interessen der Vereinigten Staaten, sondern die aller demokratischen Nationen, behauptet die Offenlegung und zitiert den Umgang des Unternehmens mit einer Entscheidung der nigerianischen Regierung, Twitter monatelang zu blockieren letztes Jahr über einen Tweet des Präsidenten, der weithin als Drohung gegen einige nigerianische Bürger interpretiert und anschließend von Twitter entfernt wurde.Nigeria hob sein Verbot von Twitter im Januar auf, nachdem die Regierung sagte, die Social-Media-Plattform habe allen Bedingungen zugestimmt beinhalten die Einhaltung der nigerianischen Gesetze zur „verbotenen Veröffentlichung“.

          Trotz der Behauptungen von Twitter, in Verhandlungen mit Nigeria gewesen zu sein, nachdem es das Unternehmen suspendiert hatte, fanden diese Gespräche nie wirklich statt, behauptet Zatko. Die angeblichen Falschdarstellungen von Twitter über die Beteiligung der nigerianischen Regierung schadeten nicht nur den Investoren des Unternehmens, heißt es in der Offenlegung, sondern verschafften den nigerianischen Beamten auch den Vorwand, weitaus größere Zugeständnisse von Twitter zu fordern, als das Unternehmen sonst gegeben hätte. Die Zugeständnisse haben laut Zatkos Offenlegung „das Recht auf freie Meinungsäußerung und die demokratische Rechenschaftspflicht der nigerianischen Bürger beeinträchtigt“.

          .
          

          Quelle: CNN

          Ähnliche Artikel

          Kommentar verfassen