Sygnalista Twittera Peiter Zatko ostrzegł Kongres przed lukami

Kiedy w listopadzie 2020 r. Twitter zatrudnił Peitera „Mudge" Zatko na stanowisku szefa bezpieczeństwa, firma wciąż lizała rany po wybryku nastoletnich hakerów: niewielka grupa napastników przejęła zweryfikowane konta Baracka Obamy, Joe Bidena, Elona Muska i Apple, by reklamować bitcoinowe oszustwo. Zarząd chciał poważnego specjalisty od bezpieczeństwa i na papierze dostał najpoważniejszego, jaki był do wzięcia. Osiemnaście miesięcy później, w styczniu 2022 r., Twitter go zwolnił.

Pół roku później, razem z prawnikami z Whistleblower Aid, złożył 84-stronicową skargę do SEC, FTC i Departamentu Sprawiedliwości, a potem zasiadł przed senacką Komisją Sądownictwa i zeznawał pod przysięgą. Opisał firmę, która nie wiedziała, jakie dane przechowuje, nie wiedziała, kto ma do nich dostęp, i nie potrafiła odciąć obcych służb wywiadowczych od własnych systemów inżynierskich.

„Kiedy wpływową platformę medialną mogą skompromitować nastolatkowie, złodzieje i szpiedzy, to poważna sprawa dla nas wszystkich."
Peiter „Mudge" Zatko @ senacka Komisja Sądownictwa, oświadczenie wstępne, 13 września 2022

Od L0pht przez DARPA do Twittera

Mudge nie był korporacyjnym specjalistą od bezpieczeństwa, który przy okazji coś wykrył. Był publiczną twarzą amerykańskiego hakerstwa, jeszcze zanim większość inżynierów Twittera skończyła szkołę. Jako członek bostońskiego kolektywu L0pht, a później Cult of the Dead Cow, w maju 1998 r. zasiadł przed senacką komisją Governmental Affairs i powiedział senatorom, że siedmiu mężczyzn siedzących obok niego potrafi położyć cały internet w jakieś pół godziny. To zdanie do dziś cytują podręczniki cyberbezpieczeństwa, bo okazało się w zasadzie prawdziwe.

Peiter „Mudge" Zatko w DARPA, 10 lutego 2011
© Monica King / U.S. Department of Defense (domena publiczna)

W latach 2010-2013 prowadził programy w DARPA, gdzie pomógł powołać Information Innovation Office i uruchomił Cyber Fast Track, program drobnych grantów kierujący pieniądze do niezależnych badaczy bezpieczeństwa z pominięciem typowej federalnej biurokracji kontraktowej. Później pracował w grupie Advanced Technology and Projects w Google, następnie w Stripe, aż ówczesny prezes Twittera Jack Dorsey osobiście ściągnął go po przejęciu kont z 2020 roku.

Ten życiorys ma znaczenie, bo Twitter nie zatrudnił menedżera ds. zgodności, który pomylił złe systemy z oszustwem. Zatrudnił człowieka, na którego powołują się inni specjaliści od bezpieczeństwa, a ten zastał platformę w stanie gorszym, niż się spodziewał. Senackim śledczym powiedział później, że to, co zobaczył wewnątrz firmy, przekonało go, iż jest to problem bezpieczeństwa narodowego, a nie tylko korporacyjny.

Skarga z lipca 2022

Skarga, którą Whistleblower Aid złożyła w lipcu 2022 r., liczyła wraz z załącznikami około 200 stron. Trafiła do SEC, FTC i Departamentu Sprawiedliwości, a miesiąc później wyciekła do opinii publicznej, gdy dotarły do niej CNN i Washington Post. Skarga uderzała w trzy rzeczy naraz: w wywiązywanie się firmy z decyzji FTC z 2011 r. o ochronie danych użytkowników, w jej oświadczenia dla inwestorów na temat liczenia użytkowników i botów oraz w wewnętrzne kontrole dostępu.

To zarzut dotyczący kontroli dostępu sprawił, że profesjonaliści od bezpieczeństwa krztusili się kawą. Zatko powiedział regulatorom, że około połowa pracowników Twittera to inżynierowie i że niemal każdy z nich mógł wrzucać kod na produkcję oraz odczytywać i modyfikować dane dowolnego użytkownika platformy. Nie było sensownych środowisk testowych, nie było wydzielonych systemów deweloperskich, a inżynierowie debugowali wprost na produkcji. W zwykłej regulowanej firmie byłby to incydent do zgłoszenia; w Twitterze to był codzienny tryb pracy.

Skarga zarzucała też kierownictwu, że wielokrotnie wprowadzało własną radę dyrektorów w błąd co do skali awarii zabezpieczeń, a wewnętrzne wyliczenia kont botów rozjeżdżały się z tym, co sugerowały dokumenty składane do SEC. Twitter w odpowiedzi przedstawił Zatkę jako rozżalonego byłego kierownika, którego narracja jest pełna nieścisłości. Ta linia obrony ma długą tradycję; podobnie zarząd Theranosa wypowiadał się o Tylerze Shultzu i Erice Cheung przed aktem oskarżenia.

Pod przysięgą przed Senatem

13 września 2022 r. Zatko zasiadł przed senacką Komisją Sądownictwa i pod przysięgą odczytał przygotowane oświadczenie. Pierwsze zdanie nadało ton reszcie przesłuchania.

„Jestem tu dzisiaj, ponieważ kierownictwo Twittera wprowadza w błąd opinię publiczną, ustawodawców, organy regulacyjne, a nawet własną radę dyrektorów. (...) Nie ma znaczenia, kto ma klucze, jeśli nie ma zamków."
Peiter „Mudge" Zatko @ senacka Komisja Sądownictwa, 13 września 2022

Senatorowie obu partii traktowali go jako wiarygodnego świadka, co w tej komisji i w tamtym roku było rzadkością. Chuck Grassley przeszedł punkt po punkcie zarzuty dotyczące decyzji FTC. Richard Blumenthal naciskał na kwestie bezpieczeństwa narodowego. Tom Cotton zadał pytanie o to, czy obce służby wywiadowcze mają już swoich ludzi w firmie.

„Jeżeli nie umieszczacie swoich agentów w Twitterze, to najprawdopodobniej nie wykonujecie swojej pracy jako obca agencja wywiadowcza."
Peiter „Mudge" Zatko @ senacka Komisja Sądownictwa, 13 września 2022

Podał co najmniej jeden konkretny przypadek: FBI ostrzegło zespół bezpieczeństwa Twittera, że jeden z pracowników działa jako agent obcego rządu. Zatko zaalarmował wewnętrznie i został zwolniony. Zanim przesłuchanie dobiegło końca, kilku senatorów wzywało już do powołania przy Departamencie Sprawiedliwości nowego regulatora ds. prywatności i bezpieczeństwa. Na tle szerszego kanonu sygnalistów w prasie to przesłuchanie uderzyło mocniej niż większość, bo zarzut nie dotyczył abstrakcyjnej szkody: chodziło o to, że oficer obcego wywiadu mógł mieć inżynierski login do Twittera.

Wciągnięty w przejęcie przez Muska

Skarga stała się publiczna 23 sierpnia 2022 r., w środku procesu, w którym Elon Musk próbował wycofać się ze swojej oferty kupna firmy za 44 miliardy dolarów. Zespół prawny Muska rzucił się na nią w ciągu kilku dni. Przed Sądem Kanclerskim stanu Delaware prawnicy dowodzili, że zarzuty Zatki to „material adverse event", który unieważnia umowę, wezwali go do złożenia zeznania i 9 września 2022 r. przepytywali go o liczenie botów i praktyki bezpieczeństwa.

Sędzia Sądu Kanclerskiego dopuścił nowe zarzuty do sprawy, ale uznał, że raczej nie zrobią tego, czego oczekują prawnicy Muska. 27 października 2022 r. Musk zamknął przejęcie po ustalonej wcześniej cenie, zwolnił kierownictwo, które Zatko wymienił z nazwiska, a w ciągu kilku miesięcy zmienił nazwę firmy na X. Dopiero później wyszło na jaw, że Twitter już w czerwcu 2022 r., na kilka tygodni przed złożeniem skargi, wypłacił Zatce poufną odprawę w wysokości około 7 milionów dolarów, na warunkach, które pozostawiły mu swobodę rozmowy z Kongresem i federalnymi regulatorami. Wall Street Journal poskładał ten szczegół we wrześniu na podstawie skąpych ujawnień, na jakie strony były gotowe.

Co zrobiła z tym FTC

FTC pilnowała Twittera już wcześniej, w ramach zmienionej decyzji ugodowej z 2022 r., która wynikła z wcześniejszej w tym samym roku ugody opiewającej na 150 milionów dolarów. W marcu 2023 r. agencja potwierdziła, że wszczęła postępowanie sprawdzające, czy firma po przejęciu przez Muska wywiązuje się z tej decyzji. Postępowanie ciągnęło się prawie dwa lata.

W lutym 2024 r. szefowa FTC Lina Khan przesłała do komisji House Judiciary 50-stronicowe pismo, które stało się najbardziej konkretnym publicznym opisem tego, co naprawdę się stało. Najważniejszy wniosek brzmiał, że Musk polecił pracownikom udostępnić zewnętrznemu autorowi pracującemu nad serią „Twitter Files" nieograniczony dostęp, mówiąc, by tej osobie dać „pełny dostęp do wszystkiego w Twitterze, bez żadnych ograniczeń". Pracownicy bezpieczeństwa informacji z długim stażem zablokowali to polecenie, powołując się na decyzję ugodową, i przepuścili autorów przez węższe kontrole. FTC uznała, że do ostatecznego naruszenia nie doszło, ale niewiele brakowało, i udokumentowała ten rodzaj wewnętrznego oporu, którego brak Zatko zarzucał firmie.

Gdzie wylądował Mudge

Sygnaliści z obszaru bezpieczeństwa i prywatności rzadko mogą dalej pracować w swojej dziedzinie; w lepszym wariancie kończą jak Edward Snowden na wygnaniu albo latami doradzają pod innym nazwiskiem. Zatko miał inny dalszy ciąg. We wrześniu 2023 r. dołączył do Cybersecurity and Infrastructure Security Agency jako starszy doradca techniczny w niepełnym wymiarze u ówczesnej dyrektorki Jen Easterly i pracował przy programie secure-by-design, który wymusza na producentach oprogramowania dostarczanie produktów, które nie są popsute już w momencie wydania.

7 sierpnia 2024 r. ogłosił powrót do DARPA jako Chief Information Officer agencji, czyli do tego samego miejsca, w którym dekadę wcześniej powołał Information Innovation Office. Napisał, że ma nadzieję „za drugim razem zostawić jeszcze większy ślad we wszechświecie". Ten ciąg wydarzeń trudno z czymkolwiek zestawić: senacki świadek w 1998 r. ostrzegający ustawodawców przed cudzym kiepskim kodem, senacki świadek w 2022 r. ostrzegający ustawodawców przed kiepskim kodem własnego pracodawcy, federalny CIO dwa lata później.

Ta sprawa wciąż coś znaczy dla każdego, kto prowadzi program sygnalistyczny, bo scenariusze awarii opisane przez Zatkę są podręcznikowe. Każda platforma, niezależnie od skali, gromadzi wrażliwe dane szybciej, niż jej kontrole dostępu są w stanie nadążyć. Inżynierowie zdobywają uprawnienia produkcyjne, których nikt z kierownictwa nie potrafi w pełni wyliczyć. Zarządy i regulatorzy polegają na firmowych oświadczeniach o stanie bezpieczeństwa, a pisze je ta sama załoga, której budżet zależy od tego, by odpowiedź brzmiała uspokajająco. Sensem wewnętrznego kanału jest właśnie to, by ostrzeżenie pojawiło się o rok wcześniej, zanim ktoś będzie musiał lecieć do Waszyngtonu z prawnikiem.