कथित ट्विटर सुरक्षा दोष आगामी समस्याओं का कारण बनता है
ट्विटर की साइबर सुरक्षा की स्थिति के बारे में हानिकारक दावों की एक श्रृंखला व्यवहार और नीतियां यह सोशल मीडिया प्लेटफॉर्म के लिए समस्या पैदा कर सकता है और आपको नियामकों और सरकारों से जांच और प्रतिबंधों के अधीन कर सकता है।
अमेरिकी प्रतिभूति और विनिमय आयोग (एसईसी) के पास दायर फाइलों के 80 से अधिक पृष्ठों में चौंकाने वाला खुलासा किया गया था, जिसकी एक प्रति यहां उपलब्ध है। सीएनएन कब वाशिंगटन पोस्ट।
व्हिसलब्लोअर पीटर “मडगे” ज़टको पहले ट्विटर पर सुरक्षा प्रमुख थे, सीधे सीईओ पराग अग्रवाल को रिपोर्ट करते थे। Zatko एक प्रसिद्ध एथिकल हैकर और साइबर सुरक्षा समुदाय में प्रमुख व्यक्ति हैं, जिन्होंने L0pht और कल्ट ऑफ़ द डेड काउ जैसे समूहों के सदस्य के रूप में क्षेत्र के कई शुरुआती विकासों में महत्वपूर्ण भूमिका निभाई है।
मंच के सुरक्षा मुद्दों को हल करने में मदद करने के लिए वह अग्रवाल के पूर्ववर्ती, प्लेटफॉर्म संस्थापक जैक डोर्सी के कार्यकाल के दौरान ट्विटर से जुड़े। 2020 में साइबर हमले के मद्देनजर एक क्रिप्टोक्यूरेंसी स्कैमर ने जेफ बेजोस, बिल गेट्स और एलोन मस्क जैसे हाई-प्रोफाइल खातों तक पहुंच प्राप्त कर ली है, लेकिन उनका रोजगार 2022 की शुरुआत में समाप्त हो गया।
ज़टको का दावा है कि ट्विटर को इस मुद्दे को ठीक करने में विफल रहने के बाद अब वह अपनी चुप्पी तोड़ रहे हैं। उन्होंने कहा कि अग्रवाल और अन्य लोगों ने उन्हें संगठन के बोर्ड को सटीक जानकारी देने से रोका और रोका।
जुलाई में यू.एस. कांग्रेस और यू.एस. संघीय सरकार की अन्य एजेंसियों को भेजे गए एक खुलासे में, ज़टको ने आरोप लगाया कि बहुत से अंदरूनी लोगों को महत्वपूर्ण डेटा और प्लेटफ़ॉर्म फ़ंक्शंस तक निर्बाध पहुंच की अनुमति दी गई थी। खराब सुरक्षा प्रथाओं और कुप्रबंधन से ग्रस्त एक संगठन का वर्णन किया।
ज़टको का कहना है कि ट्विटर अपने बोर्ड और नियामकों को गुमराह करके गंभीर कमजोरियों को कवर करने की कोशिश कर रहा है, साइबर अपराधियों और राष्ट्रीय खुफिया एजेंसियों के दुर्भावनापूर्ण हस्तक्षेप के लिए प्रभावी रूप से दरवाजा खुला छोड़ रहा है। की निंदा की। वास्तव में, उन्होंने सुझाव दिया कि कर्मचारी के पास अब शत्रुतापूर्ण जासूस हो सकता है।
उन्होंने तर्क दिया कि प्लेटफ़ॉर्म ने उन उपयोगकर्ताओं को गुमराह किया जिन्होंने अपने खातों को यह विश्वास करने के लिए रद्द कर दिया था कि उनका डेटा हटा दिया गया था, जो हमेशा ऐसा नहीं होता था।
तकनीकी दृष्टिकोण से, ज़टको ने आगे तर्क दिया कि ट्विटर अभी भी पुराने सर्वर इन्फ्रास्ट्रक्चर पर चलता है। इस सर्वर इन्फ्रास्ट्रक्चर में पर्याप्त सुरक्षा का अभाव है, काफी हद तक अप्रकाशित है, और इसमें डेटा सेंटर को अनियोजित आउटेज से पुनर्प्राप्त करने के लिए घटिया सुरक्षा और प्रक्रियाएं हैं।
उन्होंने यह भी कहा कि संगठन को पता नहीं था कि कितने बॉट प्लेटफॉर्म का उपयोग कर रहे थे और ऐसा करने के लिए विशेष रूप से प्रेरित नहीं थे। वर्तमान में कानूनी कार्रवाई के अधीन.
व्यापक रूप से प्रसारित बयान में ज़टको के आरोपों का जवाब देते हुए, ट्विटर ने कहा कि ज़टको को जनवरी 2022 में “अप्रभावी नेतृत्व और खराब प्रदर्शन” के लिए निकाल दिया गया था।
प्रवक्ता ने कहा, “मैंने अब तक जो देखा है वह ट्विटर और इसकी गोपनीयता और डेटा सुरक्षा प्रथाओं की गलत व्याख्या, विरोधाभासों और अशुद्धियों से भरा हुआ है, और महत्वपूर्ण संदर्भ गायब है।” मैं यहां हूं।
“ज़ैटको के आरोप और अवसरवादी समय का उद्देश्य ट्विटर, उसके ग्राहकों और शेयरधारकों का ध्यान आकर्षित करना और नुकसान पहुंचाना है। सुरक्षा और गोपनीयता ट्विटर की कंपनी-व्यापी प्राथमिकताएं हैं, यह आगे भी जारी रहेगी।”
कर्मचारियों को नोटिस ट्विटर पर ही शेयर करेंअग्रवाल ने इस कथन से सहमति व्यक्त करते हुए कहा:
इलिनोइस के सीनेटर डिक डर्बिन और आयोवा के सीनेटर चक ग्रासली सीनेट न्यायपालिका समिति जाटको के आरोपों के लिए मामले की सच्चाई का पता लगाने के लिए आगे की जांच की आवश्यकता है।
ग्रासली ने कहा सीएनएन उन्होंने कहा कि बड़ी मात्रा में डेटा, नाजुक सुरक्षा बुनियादी ढांचे और शत्रुतापूर्ण राष्ट्र-राज्य अभिनेताओं के लिए भेद्यता का संयोजन “आपदा के लिए नुस्खा” है। उन्होंने कहा कि ज़टको के आरोपों ने संयुक्त राज्य के लिए गंभीर राष्ट्रीय सुरक्षा चिंताओं को जन्म दिया है।
एक तीसरा सीनेटर, कनेक्टिकट के रिचर्ड ब्लूमेंथल, संघीय व्यापार आयोग (एफटीसी) ने जांच का अनुरोध किया। FTC ने पहले ट्विटर पर आरोपों की जांच की कि उसने अपनी सेवाओं की सुरक्षा के बारे में उपभोक्ताओं को गुमराह किया है। एक समझौते पर पहुंच गया कंपनियों ने “उपभोक्ताओं को गुमराह करने से प्रतिबंधित कर दिया कि वे गैर-सार्वजनिक उपभोक्ता जानकारी की सुरक्षा, गोपनीयता और गोपनीयता की रक्षा किस हद तक करते हैं।” ज़टको की शिकायत से लगता है कि ट्विटर ने समझौते का उल्लंघन किया है।
इस बीच, सुरक्षा समुदाय के सदस्यों ने भी जाटको का बचाव किया और ट्विटर के प्रतिवाद को वापस ले लिया। उनमें से एक खतरे का पता लगाने वाले विशेषज्ञ हारून टर्नर और एक सेवा (सास) उत्पादों के रूप में सॉफ्टवेयर के सीटीओ थे। वेक्ट्रा.
टर्नर ने कहा, “मैं मैज को कल्ट ऑफ द डेड काउ के दिनों से जानता हूं।” “जब मैं माइक्रोसॉफ्ट में था, उन्होंने और स्टेक टीम ने हमारी सुरक्षा रणनीति और रणनीति को मौलिक रूप से सुधारने में हमारी मदद की। दर्पस इसने अमेरिकी सरकार के साइबर सुरक्षा के दृष्टिकोण में क्रांति ला दी है।
“उनके पास हमेशा उच्चतम स्तर की अखंडता है और सिस्टम के विकास और संचालन में उच्चतम तकनीकी मानकों का भी पालन करता है। एक समस्या है।”
टर्नर, जिन्होंने 2020 में ट्विटर पर क्रिप्टोकुरेंसी धोखाधड़ी मामले की जांच का समन्वय किया, ने कहा कि वह इस निष्कर्ष पर पहुंचे कि ट्विटर के पास पर्याप्त विशेषाधिकार प्राप्त उपयोगकर्ता प्रबंधन नियंत्रण या डेवलपर्स और सिस्टम प्रशासकों के लिए कर्तव्यों को अलग करने की नीति नहीं है।
उन्होंने कहा, “अगर मैज के खुलासे सही हैं, तो ट्विटर के पास उपयोगकर्ता प्रबंधन नियंत्रण और नीतियों के साथ गंभीर सिस्टम स्वच्छता मुद्दे हैं जो पूरे ट्विटर प्लेटफॉर्म को खतरे में डालते हैं।”
डेनियल थानोस, अनुसंधान और विकास के उपाध्यक्ष आर्कटिक भेड़ियाजाटको के समर्थन में भी कहा:
थानोस के अनुसार, ट्विटर के आरोप अन्य सोशल मीडिया कंपनियों के साथ समान पैटर्न दिखाते हैं। सुरक्षा और गोपनीयता दानवदुर्भाग्य से, अक्सर, सोशल मीडिया कंपनियां इन मुद्दों को छिपाती हैं और पारदर्शिता के साथ उनका समाधान करने में विफल रहती हैं, उन्होंने कहा।
“इन सभी घटनाओं से साबित होता है कि सेल्फ-पुलिसिंग अब काम नहीं करती है,” उन्होंने कहा। “ये सोशल मीडिया संस्थाएं अब प्रकाशक के रूप में काम कर रही हैं, जिसके लिए उच्च स्तर के सार्वजनिक विश्वास की आवश्यकता होती है, और इसके साथ कुछ सुरक्षा और पारदर्शिता जिम्मेदारियां आती हैं जो स्पष्ट रूप से पूरी नहीं हो रही हैं।
“ट्विटर को कई अन्य कंपनियों के समान अंदरूनी खतरों का सामना करना पड़ता है। सूचना के एक महत्वपूर्ण स्रोत के रूप में, हमें यह सुनिश्चित करने की आवश्यकता है कि आंतरिक सुरक्षा नियंत्रण बनाए रखा जाए।” सुरक्षा और गोपनीयता का उच्चतम स्तरयह बिल्कुल बुनियादी है क्योंकि उपयोगकर्ता इस पर भरोसा करते हैं। “
एड हंटर, एक क्लाउड सुरक्षा कंपनी का सीआईएसओ इन्फोब्लॉक्स, आगे जोड़ना: कई कमियों को विभिन्न प्रकार की एकीकृत सुरक्षा तकनीकों द्वारा आसानी से संबोधित किया जाता है जो राजस्व उत्पन्न करने वाले उत्पादन वातावरण के साथ बढ़ती हैं, जैसे कि नेटवर्क पर सभी संपत्तियों की दृश्यता और जहां वे संचार कर रहे हैं। “
लेकिन ऐसी समस्याएं सोशल मीडिया के दायरे तक ही सीमित नहीं हैं। जो कोई भी साइबर सुरक्षा समाचार चक्र को नियमित रूप से देखता है, वह इस बात से अच्छी तरह वाकिफ है कि बुनियादी सुरक्षा स्वच्छता की कमी, या यहां तक कि सर्वोत्तम प्रथाओं के लिए जानबूझकर उपेक्षा करना, यह सब बहुत आम है।
उदाहरण के लिए, एक्सेस कंट्रोल विशेषज्ञों की सीईओ जूलिया ओ’टोल ने कहा: मिथिना, ने कहा कि ज़टको के कुछ आरोपों से दूसरों को यह एहसास होना चाहिए कि जब डेटा सुरक्षा की बात आती है तो वे बुरी तरह से बाहर हो जाते हैं। हालाँकि, कर्मचारी संवेदनशील डेटा तक पहुँचने के लिए अपने स्वयं के पासवर्ड और पासकी बनाने की अनुमति देकर उस पर नियंत्रण खो देते हैं।
“कोई भी संगठन कर्मचारियों को भौतिक कार्यालयों तक पहुंचने के लिए अपनी कुंजी बनाने की अनुमति नहीं देता है, लेकिन वे कर्मचारियों को डेटा तक पहुंचने के लिए डिजिटल कुंजी बनाने की अनुमति देते हैं। यकीनन आज सबसे मूल्यवान संपत्ति है। वास्तव में सुरक्षा में सुधार करने के लिए, इस भेद्यता को संबोधित किया जाना चाहिए।”
थानोस के अनुसार, घटना यह भी दर्शाती है कि संगठनों में सुरक्षा नेताओं के लिए खुली और ईमानदार रिपोर्टिंग और शासन कितना महत्वपूर्ण है। निदेशक मंडल के साथ संबंध समझौता करने के लिए अंदरूनी सूत्रों की अक्षमता। उन्होंने कहा कि ज़टको के ट्विटर के कुछ वरिष्ठ अधिकारियों के साथ हस्तक्षेप करने के आरोपों से सभी को चिंतित होना चाहिए।
“मैज को पूर्व सीईओ ने इस मुद्दे और अंदरूनी खतरों के मुद्दे पर काम करने के लिए काम पर रखा था, लेकिन कई परिवर्तनकारी सीआईएसओ द्वारा सामना किए जाने वाले हस्तक्षेप का पैटर्न यहां प्रदर्शित किया गया है।” “जो कोई भी सुरक्षा समुदाय के रूप में हमारे मिशन की परवाह करता है, वह मैज को पूरे उद्योग की भलाई के लिए जीतते हुए देखना पसंद करेगा।”
