Zakto ayrıca Twitter’ın yeni özellikleri ve sistem yükseltmelerini canlı prodüksiyon yazılımında başlatmadan önce denemek için kapsamlı bir geliştirme veya test ortamına sahip olmadığını iddia ediyor. Sonuç olarak Zatko, mühendislerin canlı sistemlerle birlikte çalışacakları ve “doğrudan ticari hizmet üzerinde test ederek düzenli hizmet kesintilerine yol açacakları” bir durumu açıklıyor. Belgeler, Twitter çalışanlarının yarısının, herhangi bir haydut eylemi yakalayabilmek veya istenmeyen etkinliği izleyebilmek için izleme olmaksızın canlı prodüksiyon sistemlerine ve kullanıcı verilerine ayrıcalıklı erişime sahip olduğunu iddia ediyor. Zatko’nun şikayeti Twitter’ı yaklaşık 11.000 çalışanı olarak tanımlıyor. Twitter şu anda yaklaşık 7.000 çalışanı olduğunu söylüyor.
Şikayetler, bu zayıf güvenlik uygulamalarının Twitter’ın güvenlik olayları, veri ihlalleri ve tehlikeli kullanıcı hesabı ele geçirmeleriyle ilgili geçmiş sicilini açıkladığını iddia ediyor.
Twitter CEO’su Parag Agrawal, “Yayınlanmış olan düzeltilmiş iddiaları inceliyoruz” yazdı bu sabah Twitter çalışanlarına bir mesaj gönderdi. “Bir şirket olarak bütünlüğümüzü savunmak ve rekoru kırmak için her yolu deneyeceğiz.”
Twitter, tüm çalışan bilgisayarlarının merkezi olarak yönetildiğini ve BT departmanının güncellemeleri zorlayabileceğini veya güncellemeler yüklenmezse erişim kısıtlamaları getirebileceğini söylüyor. Şirket ayrıca bir bilgisayarın üretim sistemlerine bağlanabilmesi için yazılımının güncel olduğundan emin olmak için bir kontrolden geçmesi gerektiğini ve yalnızca “iş gerekçesi” olan çalışanların üretim ortamına “belirli amaçlar” için erişebileceğini söyledi.
Ağustos 2020’den Şubat 2021’e kadar Twitter personeli yazılım mühendisi olan Snapp Automotive’in kurucu ortağı ve baş teknoloji sorumlusu Al Sutton, Salı günü yaptığı bir tweet’te Twitter’ın kendisini şirketi kodlamak için yazılım değişiklikleri gönderebilen GitHub grubundan hiçbir zaman çıkarmadığını belirtti. geliştirme platformunda yönetir. Sutton, şirketten ayrıldıktan sonra 18 ay boyunca özel depolara erişebildi ve yayınlanan kanıt Twitter’ın GitHub’ı yalnızca herkese açık, açık kaynak çalışmaları için değil, aynı zamanda dahili projeler için de kullandığı. Sutton, erişim hakkında bir gönderi yayınladıktan sonra yaklaşık üç saat içinde rapor edildi iptal edilmiş olmasıdır.
WIRED’e “Twitter’ın Mudge’ın iddiaları konusunda oldukça rahat olduğunu düşünüyorum, bu yüzden doğrulanabilir bir örneğin insanlar için yararlı olabileceğini düşündüm” dedi. Zatko’nun suçlamalarının Twitter’da çalışma deneyimiyle uyuşup uyuşmadığı sorulduğunda Sutton, “Sanırım burada söylenecek en iyi şey, onun iddialarından şüphe duymam için hiçbir nedenim yok” diye ekledi.
Güvenlik mühendisleri ve araştırmacıları, üretim ortamı güvenliğine yaklaşmanın farklı yolları olsa da, çalışanların kullanıcı verilerine geniş erişime sahip olması ve kapsamlı günlük kaydı olmaksızın dağıtılan koda sahip olması durumunda kavramsal bir sorun olduğunu vurgulamaktadır. Bazı kuruluşlar erişimi büyük ölçüde sınırlama yaklaşımını benimserken, diğerleri daha geniş erişim ve sürekli izlemenin bir kombinasyonunu kullanır, ancak her iki seçenek de bir şirketin yoğun yatırım yaptığı bilinçli bir seçim olmalıdır. Çin hükümeti 2010’da Google’ı ihlal ettikten sonra, örneğin, şirket tamamen eski yaklaşıma girdi.
Danışmanlık Metzger’in yönetici ortağı Perry Metzger, “Şirketler için mühendislere üretim sistemlerine erişim sağlama konusunda nispeten liberal politikalara sahip olmak o kadar olağandışı bir durum değil, ancak bunu yaptıklarında yapılan her şeyi günlüğe kaydetme konusunda çok ama çok katılar” diyor. Dowdeswell ve Şirketi. “Mudge’ın müthiş bir itibarı var ama diyelim ki tamamen beceriksizdi. Yapabilecekleri kolay şey, üretim sistemlerine mühendis erişimi için kullandıkları kayıt sistemlerinin teknik ayrıntılarını sağlamak olacaktır. Ancak Mudge’ın tasvir ettiği şey, insanların bir şeyleri düzeltmek yerine örtbas etmeyi tercih ettiği bir kültür ve rahatsız edici olan da bu.”
Onu temsil eden kar amacı gütmeyen yasal grup Zatko ve Whistleblower Aid, Salı günü yayınlanan belgelerin arkasında olduklarını söylüyorlar. Whistleblower Aid CEO’su Libby Liu yaptığı açıklamada, “Twitter’ın dünya çapında yüz milyonlarca kişinin hayatı üzerinde çok büyük bir etkisi var ve kullanıcılarına ve hükümete güvenli ve güvenli bir platform sağlama konusunda temel yükümlülükleri var” dedi.
Ancak şimdilik iddialar, hızlı bir şekilde açıklanması veya kapsamlı bir şekilde çözülmesi olası görünmeyen ciddi endişeler uyandırıyor.