Peiter "Mudge" Zatko sygnalista Twittera

Kiedy w listopadzie 2020 r. Twitter zatrudnił Peitera „Mudge" Zatko na stanowisku szefa bezpieczeństwa, firma wciąż lizała rany po wybryku nastoletnich hakerów: niewielka grupa napastników przejęła zweryfikowane konta Baracka Obamy, Joe Bidena, Elona Muska i Apple, by reklamować bitcoinowe oszustwo. Zarząd chciał poważnego specjalisty od bezpieczeństwa i na papierze dostał najpoważniejszego, jaki był do wzięcia. Osiemnaście miesięcy później, w styczniu 2022 r., Twitter go zwolnił.

Sześć miesięcy po zwolnieniu, działając z prawnikami z Whistleblower Aid, Zatko złożył 84-stronicową skargę do SEC, FTC i Departamentu Sprawiedliwości, a następnie usiadł przed Senacką Komisją Sądowniczą i zeznał pod przysięgą. Opisał firmę, która nie wiedziała, jakie dane posiada, nie wiedziała, kto może ich dotykać, i nie potrafiła trzymać obcych służb wywiadowczych z dala od własnych systemów inżynierskich.

„Kiedy wpływowa platforma medialna może zostać skompromitowana przez nastolatków, złodziei i szpiegów, to poważna sprawa dla nas wszystkich."
Peiter „Mudge" Zatko @ Senacka Komisja Sądownicza, oświadczenie wstępne, 13 września 2022

Od L0pht przez DARPA do Twittera

Mudge nie był korporacyjnym specjalistą od bezpieczeństwa, który przypadkiem coś wykrył. Był publiczną twarzą amerykańskiego hakerstwa, jeszcze zanim większość inżynierów Twittera skończyła szkołę. Jako członek bostońskiego kolektywu L0pht, a później Cult of the Dead Cow, w maju 1998 r. zasiadł przed senacką komisją Governmental Affairs i powiedział senatorom, że siedmiu mężczyzn obok niego jest w stanie położyć cały internet w mniej więcej pół godziny. To zdanie do dziś cytują podręczniki cyberbezpieczeństwa, ponieważ okazało się mniej więcej prawdziwe.

Peiter „Mudge" Zatko w DARPA, 10 lutego 2011
© Monica King / U.S. Department of Defense (domena publiczna)

W latach 2010-2013 prowadził programy w DARPA, gdzie pomógł postawić na nogi Information Innovation Office i uruchomił Cyber Fast Track, program drobnych grantów kierujący pieniądze do niezależnych badaczy bezpieczeństwa z pominięciem typowej federalnej biurokracji kontraktowej. Później pracował w grupie Advanced Technology and Projects w Google, następnie w Stripe, aż ówczesny prezes Twittera Jack Dorsey osobiście ściągnął go po włamaniu z 2020 roku.

Ten życiorys ma znaczenie, bo Twitter nie zatrudnił menedżera ds. zgodności, który pomylił złe systemy z oszustwem. Zatrudnił człowieka, którego cytują inni specjaliści od bezpieczeństwa, i ten człowiek znalazł platformę w stanie gorszym, niż się spodziewał. Senackim śledczym powiedział później, że to, co zobaczył wewnątrz firmy, przekonało go, iż jest to problem bezpieczeństwa narodowego, a nie tylko korporacyjny.

Skarga z lipca 2022

Skarga, którą Whistleblower Aid złożyła w lipcu 2022 r., liczyła wraz z załącznikami około 200 stron. Trafiła do SEC, FTC i Departamentu Sprawiedliwości, a miesiąc później wyciekła do opinii publicznej, gdy zdobyły ją CNN i Washington Post. Skarga uderzała w trzy obszary jednocześnie: w wykonanie przez firmę decyzji FTC z 2011 r. dotyczącej ochrony danych użytkowników, w jej oświadczenia dla inwestorów na temat liczenia użytkowników i botów oraz w jej wewnętrzną kontrolę dostępu.

To zarzut o kontrolę dostępu wywołał największe poruszenie wśród profesjonalistów od bezpieczeństwa. Zatko powiedział regulatorom, że mniej więcej połowa pracowników Twittera to inżynierowie i że niemal każdy z nich mógł wgrywać kod na produkcję oraz odczytywać i modyfikować dane dowolnego użytkownika platformy. Nie było sensownych środowisk testowych, nie było wydzielonych systemów deweloperskich, a środowiskiem, w którym inżynierowie debugowali, była produkcja. W zwykłej firmie objętej regulacjami byłby to incydent do zgłoszenia; w Twitterze to był codzienny proces budowy.

Skarga zarzucała też kierownictwu, że wielokrotnie wprowadzało własną radę dyrektorów w błąd co do skali awarii zabezpieczeń, a wewnętrzne wyliczenia kont botów rozjeżdżały się z tym, co sugerowały dokumenty składane do SEC. Twitter w odpowiedzi opisał Zatko jako rozżalonego byłego kierownika, którego narracja jest pełna nieścisłości. Ta linia obrony ma długą tradycję; podobnie zarząd Theranosa wypowiadał się o Tylerze Shultzu i Erice Cheung przed aktem oskarżenia.

Pod przysięgą przed Senatem

W dniu 13 września 2022 r. Zatko zasiadł przed Senacką Komisją Sądowniczą i odczytał przygotowane oświadczenie pod przysięgą. Pierwsze zdanie wyznaczyło temperaturę reszty przesłuchania.

„Jestem tutaj dzisiaj, ponieważ kierownictwo Twittera wprowadza w błąd opinię publiczną, ustawodawców, organy regulacyjne, a nawet własną radę dyrektorów. (...) Nie ma znaczenia, kto ma klucze, jeśli nie ma zamków."
Peiter „Mudge" Zatko @ Senacka Komisja Sądownicza, 13 września 2022

Senatorowie po obu stronach sali traktowali go jako wiarygodnego świadka, co w przypadku tej komisji w tamtym roku było rzadkością. Chuck Grassley przeszedł punkt po punkcie zarzuty dotyczące decyzji FTC. Richard Blumenthal naciskał na kwestie bezpieczeństwa narodowego. Tom Cotton zadał pytanie o to, czy obce służby wywiadowcze mają już swoich ludzi wewnątrz firmy.

„Jeżeli nie umieszczacie obcych agentów wewnątrz Twittera, to najprawdopodobniej nie wykonujecie swojej pracy jako obca agencja wywiadowcza."
Peiter „Mudge" Zatko @ Senacka Komisja Sądownicza, 13 września 2022

Zatko podał co najmniej jeden konkretny przypadek: FBI ostrzegało zespół bezpieczeństwa Twittera, że jeden z pracowników działa jako agent obcego rządu. Zatko podniósł alarm wewnętrznie i został zwolniony. Zanim przesłuchanie się skończyło, kilku senatorów wzywało już do powołania przy Departamencie Sprawiedliwości nowego regulatora ds. prywatności i bezpieczeństwa. W porównaniu z szerszym kanonem sygnalistów w prasie to przesłuchanie uderzyło mocniej niż większość, bo zarzut nie dotyczył abstrakcyjnej szkody: chodziło o to, że oficer obcego wywiadu mógł mieć inżynierski login do Twittera.

Wciągnięty w przejęcie przez Muska

Skarga stała się publiczna 23 sierpnia 2022 r., w środku procesu, w którym Elon Musk próbował wycofać się z oferty kupna firmy za 44 miliardy dolarów. Zespół prawny Muska rzucił się na nią w ciągu kilku dni. Argumentował przed Sądem Kanclerskim stanu Delaware, że zarzuty Zatko stanowią „material adverse event", które unieważnia umowę, wezwał go na przesłuchanie i zadawał mu pytania 9 września 2022 r. o liczenie botów i praktyki bezpieczeństwa.

Sędzia Sądu Kanclerskiego dopuścił nowe zarzuty do sprawy, ale uznał, że raczej nie zrobią tego, czego oczekują prawnicy Muska. 27 października 2022 r. Musk zamknął przejęcie po pierwotnej cenie, zwolnił kierownictwo, które Zatko wymienił z nazwiska, a w ciągu kilku miesięcy zmienił nazwę firmy na X. Tym, co stało się publiczne dopiero później, było to, że Twitter już w czerwcu 2022 r., kilka tygodni przed złożeniem skargi, wypłacił Zatko poufną odprawę w wysokości około 7 milionów dolarów, na warunkach, które pozostawiły mu swobodę rozmowy z Kongresem i federalnymi regulatorami. Wall Street Journal poskładał ten szczegół we wrześniu z tych skąpych ujawnień, na jakie strony były gotowe.

Co zrobiła z tym FTC

FTC obserwowała Twittera już wcześniej, w ramach zmienionej decyzji ugodowej z 2022 r., która wynikła z ugody za 150 milionów dolarów wcześniej w tym samym roku. W marcu 2023 r. agencja potwierdziła, że wszczęła postępowanie sprawdzające, czy firma po przejęciu przez Muska wywiązuje się z tej decyzji. Postępowanie ciągnęło się przez większość dwóch lat.

W lutym 2024 r. szefowa FTC Lina Khan przesłała do komisji House Judiciary 50-stronicowe pismo, które stało się najbardziej konkretnym publicznym opisem tego, co naprawdę się stało. Najważniejszy wniosek brzmiał, że Musk polecił pracownikom udostępnić zewnętrznemu autorowi pracującemu nad serią „Twitter Files" nieograniczony dostęp, mówiąc, by tej osobie dać „pełny dostęp do wszystkiego w Twitterze, bez żadnych ograniczeń". Doświadczeni pracownicy bezpieczeństwa informacji zablokowali to polecenie, powołując się na decyzję ugodową, i przepuścili autorów przez wąsko zdefiniowane kontrole. FTC stwierdziła, że do ostatecznego naruszenia nie doszło, ale niewiele brakowało, i udokumentowała ten rodzaj wewnętrznego oporu, którego brak Zatko zarzucał firmie.

Gdzie wylądował Mudge

Sygnaliści z obszaru bezpieczeństwa i prywatności rzadko mogą dalej pracować w swojej dziedzinie; lepsze rozwiązania dla nich wyglądają jak wygnanie Edwarda Snowdena albo długie konsultacje pod innym nazwiskiem. Zatko miał inny dalszy ciąg. We wrześniu 2023 r. dołączył do Cybersecurity and Infrastructure Security Agency jako starszy doradca techniczny w niepełnym wymiarze przy ówczesnej dyrektorce Jen Easterly i pracował przy programie secure-by-design, który wymusza na producentach oprogramowania dostarczanie produktów, które nie są popsute już w momencie wydania.

7 sierpnia 2024 r. ogłosił powrót do DARPA jako Chief Information Officer agencji, czyli tego samego miejsca, w którym dekadę wcześniej postawił na nogi Information Innovation Office. Napisał, że ma nadzieję „zrobić jeszcze większą rysę na wszechświecie za drugim razem". Trudno znaleźć odpowiednik tego biegu wydarzeń: senacki świadek w 1998 r. ostrzegający ustawodawców o cudzym kiepskim kodzie, senacki świadek w 2022 r. ostrzegający ustawodawców o kiepskim kodzie własnego pracodawcy, federalny CIO dwa lata później.

Powodem, dla którego ta sprawa wciąż coś znaczy dla każdego, kto prowadzi program sygnalistyczny, jest to, że tryby awarii opisane przez Zatko są podręcznikowe. Każda platforma, niezależnie od skali, gromadzi wrażliwe dane szybciej, niż jej kontrole dostępu są w stanie nadążyć. Inżynierowie zdobywają uprawnienia produkcyjne, których nikt z kierownictwa nie potrafi w pełni wyliczyć. Zarządy i regulatorzy polegają na własnych oświadczeniach firm o stanie bezpieczeństwa, pisanych przez tych samych ludzi, których budżet zależy od tego, by odpowiedź brzmiała uspokajająco. Sensem wewnętrznego kanału jest doprowadzenie do tego, by ostrzeżenie pojawiło się rok wcześniej, zanim ktoś musi z prawnikiem polecieć do Waszyngtonu.