“Twitter non è un posto sicuro”, tutte le rivelazioni dell’hacker che sta facendo tremare il social network
"Non importa chi ha le chiavi se non ci sono serrature”. È partito da qui Peiter "Mudge" Zatko la mattina del 13 settembre. Il whistle blower di Twitter, davanti al Congresso, ha detto che la piattaforma non sa nè quali dati ha tra le mani, nè da dove provengano, “quindi, ovviamente, non possono proteggerli”. E non solo. Ha rivelato anche che tra i dipendenti ci sarebbe una spia cinese. Zatko è stato assunto da Jack Dorsey nel 2020 per rispondere alla “crypto hack”, la truffa legata ai Bitcoin che aveva colpito, tra i tanti, anche gli account di Barack Obama, Bill Gates, Joe Biden, Jeff Bezos e Elon Musk. Due anni dopo è stato licenziato a causa del suo “scarso rendimento sul lavoro”, per Zatko, è una ritorsione dovuta al suo rifiuto di ignorare i problemi di sicurezza dell’azienda.
Nella sua testimonianza, l’hacker parte proprio da quelle falle. Durante un’audizione bipartisan davanti alla commissione giudiziaria del Senato degli Stati Uniti ha spiegato: "Sono qui oggi perché la leadership di Twitter sta fuorviando il pubblico, i legislatori, i regolatori e persino il suo stesso consiglio di amministrazione”. Per Zatko, le dobolezze nella sicurezza informatica rendono la piattaforma vulnerabile allo sfruttamento, causando danni reali a persone reali. Secondo l'hacker Twitter mente. Mente sulla capacità di tutelare i dati dei suoi 238 milioni di utenti, mente sul numero di bot, e ha sempre “dato la priorità ai profitti piuttosto che alla sicurezza”.
Per Zatko, Twitter, era già indietro di dieci anni. Quando è arrivato nell'azienda ha pensato che fosse una bomba a orologeria. “Per 30 anni la mia missione è stata rendere il mondo più sicuro. Sono entrato in Twitter perché credevo che con le mie capacità avrei potuto migliorare significativamente la sicurezza degli utenti negli Stati Uniti e nel mondo”. Ci prova ma incontra ostacoli, e per questo, dopo essere stato licenziato, sceglie un’altra strada. Rivelare tutto. A luglio presenta una denuncia al dipartimento di giustizia, alla Federal Trade Commission e alla Securities and Exchange Commission.
I rischi per i dati sensibili
Dalle parole di Zatko emerge che i software usati dal social network sono obsoleti e vulnerabili. Migliaia di dipendenti sarebbero in grado di accedere ai dati sensibili degli utenti e l’azienda californiana non avrebbe cancellato le informazioni personali degli account quando richiesto. "Non è un'esagerazione dire che qualsiasi dipendente può visionare i conti di qualsiasi senatore in questa stanza", ha detto Zatko. Non solo, secondo l’hacker i bot non sono calcolati correttamente, e i dirigenti sono incentivati, con bonus fino a 10 milioni di dollari, a incrementare il numero di utenti piuttosto che rimuovere lo spam. Proprio per questo lo scorso luglio Elon Musk si era scontrato con i vertici dell'azienda.
Le interferenze delle agenzie di intelligence straniere
Durante la testimonianza Zatko ha anche rivelato che “Twitter in più episodi è stato violato da agenzie di intelligence straniere”, e che la piattaforma non ha le armi per difendersi dagli attacchi esterni. Ha aggiunto che tra i dipendenti ci sarebbe anche una spia cinese del Ministero della Sicurezza di Stato (MSS) di Pechino. Non sarebbe un caso isolato. “Un governo straniero che inserisce agenti sotto copertura dentro Twitter vuole non solo identificare persone o gruppi di interesse ma anche verificare se la piattaforma riesce a identificare i tuoi agenti e le tue operazioni”, ha detto. Tra i dipendenti ci sarebbero stati anche agenti indiani.
Il senatore repubblicano Chuck Grassley ha affermato che le accuse di Zatko dipingono "l’'immagine di una società che si concentra esclusivamente sul profitto a qualsiasi costo". Ha aggiunto: "Twitter ha la responsabilità di assicurarsi che i dati siano protetti e non cadano nelle mani di potenze straniere". Twitter ha già pubblicato una nota per difendersi: “Le dichiarazioni di Zatko sono una narrazione falsa piena di incongruenze e imprecisioni”. Il processo contro la piattaforma inizierà il 17 ottobre.