Fragen? Antworten! Siehe auch: Alternativlos
Twitter hatte vor einer Weile einen Trophäen-Hacker als Security-Chef eingestellt, nicht ahnend, dass sie einen von vielleicht Dreien oder Vieren in den USA erwischt haben, bei denen im Notfall Reste von Rückgrat und Gewissen nachweisbar sind. Mudge, ehemals von The L0pht.
Der kommt übrigens ganz schön rum und war auch ne Weile bei DARPA für IT-Security-Forschung zuständig, ging dann zu Google und 2020 hat ihn Twitter eingestellt. Die hätten den vielleicht vorher mal googeln sollen.
Mudge hat natürlich erstmal alles by the book gemacht und die Probleme intern anzusprechen und zu eskalieren versucht. Der Dank dafür war, dass Twitter ihn im Januar rausgeschmissen hat, angeblich weil sie mit seiner Leistung unzufrieden waren. Gut, dann hat er nichts mehr zu verlieren und packt jetzt als Whistleblower aus, was er so gesehen hat.
Ich finde nichts davon sonderlich überraschend. Intern sind viel zu viele eigentlich privilegierte Schalter und Hebel für Gott und die Welt zugreifbar, sensible Informationen werden nicht sauber geschützt, gelöschte Daten sind häufig gar nicht wirklich gelöscht, etc.
Was das jetzt ein bisschen unangenehm für Twitter macht, ist dass Twitter jahrelang den Aufsichtsbehörden ins Gesicht gelogen hat, wie geil sie das alles ordentlich im Griff haben.
Auch gerade ganz aktuell (der zentrale Zankpunkt zwischen Twitter und Elon Musk): Er meint, Twitter könne gar nicht sagen, wie viele ihrer Accounts Bots sind, und hätten auch gar keinen Grund das herauszufinden. Sie hatten öffentlich aber nicht nur behauptet, sie wüssten das, sie haben Elon Musk gegenüber auch eine Zahl genannt, die dieser bezweifelt und damit seinen Rückzug vom Übernahmeangebot begründet hat. Das ist aber Zufall, sagt ein Vertreter der Whistleblower-Vereinigung, die ihn jetzt begleitet. Seine Whistleblowing-Vorbereitungen laufen schon länger als das Musk-Übernahmeangebot. Aber so einem geschenkten Gaul schaut Musk natürlich nicht ins Maul jetzt :-)
Glaubt übrigens kein Wort von Twitters Gefasel, er sei ein ineffektiver Chef gewesen. Mudge hat bei DARPA so gerockt, dass an seinen Führungsfähigkeiten kein Zweifel besteht.
Some of Zatko's most damning claims spring from his apparently tense relationship with Parag Agrawal, the company's former chief technology officer who was made CEO after Jack Dorsey stepped down last November. According to the disclosure, Agrawal and his lieutenants repeatedly discouraged Zatko from providing a full accounting of Twitter's security problems to the company's board of directors. The company's executive team allegedly instructed Zatko to provide an oral report of his initial findings on the company's security condition to the board rather than a detailed written account, ordered Zatko to knowingly present cherry-picked and misrepresented data to create the false perception of progress on urgent cybersecurity issues, and went behind Zatko's back to have a third-party consulting firm's report scrubbed to hide the true extent of the company's problems.
Dieser Umgang mit Security-Problemen ist meiner Beobachtung nach leider nicht ungewöhnlich für die IT-Industrie. Man kehrt alles unter den Teppich, bis einem der Chinaböller in der Hand explodiert. Dann faselt man was von "wir nehmen das sehr ernst" und "krimineller Energie" und besonders heimtückischen Angreifern und dass man die Polizei eingeschaltet habe und jetzt wegen laufendem Verfahren nichts sagen könne.