Zakto alega ainda que o Twitter não possui ambientes abrangentes de desenvolvimento ou teste para testar novos recursos e atualizações de sistema antes de lançá-los no software de produção ao vivo. Como resultado, Zatko descreve uma situação em que os engenheiros trabalhariam ao lado de sistemas ativos e “testavam diretamente no serviço comercial, levando a interrupções regulares do serviço”. E os documentos alegam que metade dos funcionários do Twitter teve acesso privilegiado a sistemas de produção ao vivo e dados de usuários sem monitoramento para poder detectar ações desonestas ou rastrear atividades indesejadas. A reclamação de Zatko descreve o Twitter como tendo cerca de 11.000 funcionários. O Twitter diz que tem cerca de 7.000 funcionários atualmente.
As reclamações afirmam que essas práticas de segurança ruins explicam o histórico do Twitter de incidentes de segurança, violações de dados e invasões perigosas de contas de usuários.
“Estamos revisando as alegações editadas que foram publicadas”, escreveu o CEO do Twitter, Parag Agrawal, em uma mensagem para a equipe do Twitter nesta manhã. “Vamos buscar todos os caminhos para defender nossa integridade como empresa e estabelecer o recorde direto.”
O Twitter diz que todos os computadores dos funcionários são gerenciados centralmente e que seu departamento de TI pode forçar atualizações ou impor restrições de acesso se as atualizações não forem instaladas. pode se conectar a sistemas de produção, deve passar por uma verificação para garantir que seu software esteja atualizado e que apenas funcionários com uma “justificativa comercial” possam acessar o ambiente de produção para “fins específicos.”
Al Sutton, cofundador e diretor de tecnologia da Snapp Automotive, era um Twitter engenheiro de software da equipe de agosto de 2020 a fevereiro de 2021. Ele observou em um tweet na terça-feira que o Twitter nunca o removeu do grupo GitHub de funcionários que pode enviar alterações de software ao código que a empresa gerencia na plataforma de desenvolvimento. Sutton teve acesso a repositórios privados por 18 meses depois de ser dispensado da empresa, e postou evidências de que o Twitter usa o GitHub não apenas para trabalhos públicos e de código aberto, mas também para projetos internos. Cerca de três horas depois de postar sobre o acesso, Sutton relatou que ele havia sido revogado.
“Acho que o Twitter está sendo bastante casual sobre as alegações de Mudge, então pensei que um exemplo verificável poderia ser útil para as pessoas”, disse ele à WIRED. Quando perguntado se as acusações de Zatko correspondem à sua própria experiência de trabalho no Twitter, Sutton acrescentou: “Acho que a melhor coisa a dizer aqui é que não tenho motivos para duvidar de suas alegações.”
Segurança engenheiros e pesquisadores enfatizam que, embora existam diferentes maneiras de abordar a segurança do ambiente de produção, há um problema conceitual se os funcionários tiverem amplo acesso aos dados do usuário e ao código implantado sem registro extensivo. Algumas organizações adotam a abordagem de limitar drasticamente o acesso, enquanto outras usam uma combinação de acesso mais amplo e monitoramento constante, mas qualquer uma das opções deve ser uma escolha consciente na qual a empresa investe pesado. Depois que o governo chinês violou o Google em 2010, por exemplo, o empresa foi all-in na abordagem anterior.
“Na verdade, não é tão incomum que as empresas tenham políticas relativamente liberais sobre dar aos engenheiros acesso aos sistemas de produção, mas quando o fazem são muito, muito rigorosos em registrar tudo o que é feito” diz Perry Metzger, sócio-gerente da consultoria Metzger, Dowdeswell & Company. “Mudge tem uma excelente reputação, mas digamos que ele era completamente incompetente. A coisa mais fácil para eles seria fornecer detalhes técnicos dos sistemas de registro que eles usam para acesso de engenheiros aos sistemas de produção. Mas o que Mudge está retratando é uma cultura em que as pessoas preferem encobrir as coisas do que consertá-las, e essa é a parte perturbadora.”
Zatko and Whistleblower Aid, o grupo jurídico sem fins lucrativos que representa ele, dizem que estão de acordo com os documentos divulgados na terça-feira. “O Twitter tem uma influência enorme na vida de centenas de milhões de pessoas em todo o mundo e tem obrigações fundamentais para com seus usuários e o governo de fornecer uma plataforma segura e protegida”, disse Libby Liu, CEO da Whistleblower Aid, em comunicado.
Por enquanto, porém, as alegações levantam uma série de preocupações sérias que parecem improváveis de serem rapidamente explicadas ou resolvidas de forma abrangente.
