“Deficiências graves e negligência”, denuncia ex-executivo do Twitter sobre segurança da plataforma

“Deficiências graves, negligência, ignorância intencional e ameaças à segurança nacional e à democracia”, essa foi a descrição do ex-chefe de segurança do Twitter ao retratar o comportamento de altos executivos da empresa, que mentiram a reguladores federais, à diretoria e aos usuários sobre medidas de segurança da rede social, em declarações comprometedoras obtidas pelo The Washington Post e CNN.

Antes de se tornar um whistleblower, Peiter ‘Mudge’ Zatko já era um conhecido hacker por testemunhar, ao lado dos seis outros membros do extinto coletivo hacker L0ft, sobre a fragilidade da segurança da internet ao Congresso norte-americano, há mais de duas décadas. Segundo ele, Brian Oblivion, Kingpin, Space Rogue, Stefan Von Neumann, John Tan e Weld Pond, era possível derrubá-la com esforço concentrado em apenas 30 minutos.

Anos se passaram, e Zatko se tornou gerente de projetos em cibersegurança na Darpa – a unidade de inovação do Pentágono que participou da criação da internet –, mais tarde, se dedicou a empresas como o Google. Em 2020, logo após uma das invasões aos sistemas da rede social, Jack Dorsey, então CEO do Twitter, o chamou para ser chefe de cibersegurança. Pouco tempo depois, Dorsey nomearia o diretor de tecnologia Parag Agrawal como seu substituto – com quem Zatko teria um relacionamento tenso meses depois.

O atrito com o novo presidente fez com que Zatko tivesse uma passagem rápida pelo Twitter, de apenas 15 meses. De acordo com uma porta-voz da companhia, Rebecca Hahn, a razão da demissão foi “por mau desempenho e liderança”. Embora os advogados do hacker confirmem a demissão, negaram que tais motivos foram a causa do desligamento em janeiro de 2022.

O motivo provável, apontado pelo relato de Zakto, teria sido o questionamento da autenticidade da reunião do Comitê de Risco, desencadeando uma investigação do Comitê de Auditoria. Após duas semanas, Agrawal o demitiu.

As alegações falsas sobre plano sólido de segurança à Comissão Federal do Comércio, fatos ocultados pelos executivos da empresa sobre o número de violações e a falta de proteção de dados para usuários foram narradas ao longo de 84 páginas entregues e ainda sob análise da FTC.

“O Twitter é extremamente negligente em diversas áreas da segurança da informação. Se estes problemas não forem corrigidos, os reguladores, a mídia e os usuários da plataforma ficarão chocados quando inevitavelmente aprenderem sobre a grave falta de segurança básica do Twitter”, diz a análise escrita em fevereiro por Zatko endereçada à empresa.

Bots de spam versus foco em crescimento do número de usuários

A queixa, apresentada no mês passado à Securities and Exchange Commission e ao Departamento de Justiça, bem como à FTC, alega que a empresa priorizou o crescimento de usuários em detrimento da redução de spam, apesar de que o conteúdo indesejado tenha piorada a experiência do usuário. Vinculados aos números de usuários diários, havia bônus individuais de até US$ 10 milhões, mas nada explícito para resolver problemas com spam.

Sobre o tweet de Parag Agrawal em maio, quando disse que a empresa estava “fortemente incentivada a detectar e remover o máximo de spam que pudéssemos”, Zatko disse que o CEO estava “mentindo”.

Como parte da responsabilidade do chefe de segurança, Zatko também era encarregado de investigar reclamações de usuários sobre contas, o que implicava supervisionar a remoção de alguns bots, segundo a reclamação.

Os bots de spam, que foi uma das perguntas de Musk, não é novidade para o Twitter. Ao não distinguir entre contas autênticas, duplicadas e automatizadas, a estimativa trimestral de usuários diários divulgadas pela empresa pode não corresponder às contas que veem os anúncios, e portanto, a empresa não pode lucrar sobre elas.  Em 2019, o Twitter mudou a forma como calcula esses números, concentrando-se naqueles que potencialmente podem ver e clicar em anúncios. Desde então, a plataforma estima em relatórios trimestrais da SEC que menos de 5% dos usuários diários monetizáveis são bots de spam.

A prevalência de bots de spam no Twitter, não apenas entre os usuários monetizáveis, não teve resposta direta, segundo a queixa. Contudo, uma fonte de Zatko disse que o Twitter tinha medo de determinar esse número, porque “prejudicaria a imagem e a valorização da empresa”.

“Os tweets da Agrawal e os posts anteriores no blog do Twitter implicam enganosamente que o Twitter emprega sistemas proativos e sofisticados para medir e bloquear os bots de spam”, diz a reclamação. “A realidade: em sua maioria, roteiros desatualizados, não monitorados, simples e com excesso de trabalho, ineficientes, com falta de pessoal e equipes humanas reativas”.

Alguns funcionários encarregados de executar a tarefa também fizeram eco sobre a falta de pessoal. Altos executivos demonstravam “apatia” em relação ao assunto, de acordo com um dos funcionários.

Problemas como disfunções de liderança – Dorsey esteve grande parte ausente durante a pandemia – impactaram tomada de decisões, bem como falta de informações sobre áreas das quais Zatko estaria encarregado, além de falta de ferramentas técnicas ou engenheiros para elaborá-las, também constam na queixa. De acordo com Zatko, ele não foi capaz de resolver algumas das questões mais sérias diante de tal inércia.

Ele alega também que cerca de 30% dos notebooks da empresa bloquearam atualizações automáticas de software com correções de segurança, e milhares tinham cópias completas do código fonte do Twitter, tornando alvos interessantes para atacantes. Além disso, metade dos 7 mil funcionários em tempo integral tiveram amplo acesso ao software interno, o qual não foi cuidadosamente monitorado, possibilitando o acesso a dados sensíveis e adulteração do funcionamento do serviço – concordaram três  atuais e ex-funcionários sobre a questão.

Histórico de insegurança no Twitter

A insegurança e incapacidade de proteger adequadamente os 238 milhões de usuários diários – incluindo dissidentes, agências do governo, figuras públicas influentes e usuários do mundo todo – remontam há mais de uma década antes da chegada do denunciante à empresa.

Em 2009, invasores ganham controle administrativo sobre a rede social, permitindo redefinir senhas e acessar dados dos usuários. No mesmo ano, ocorreram vários incidentes: o primeiro deles, em janeiro, os invasores acessaram contas e tweetaram pelos perfis da Fox News e do ex-presidente estadunidense Barack Obama. Meses depois, a senha administrativa de um funcionário foi adivinhada após um terceiro obter acesso a senhas similares pela conta de e-mail pessoal. Com os dados, ele foi capaz de redefinir a senha de usuário e obter informações particulares de qualquer usuário do Twitter.

O caso, que levou a um dos primeiros grandes casos de pedidos de consentimento de privacidade para com uma empresa de tecnologia, foi investigado pela FTC, que processou a empresa. Um acordo fechado dois anos depois a agência, o Twitter concordava em implementar, monitorar e ajustar as salvaguardas de segurança para proteger os usuários.

Embora tenha se comprometido, violações graves à segurança da mídia social continuaram. Em 2017, um funcionário assume brevemente a conta de Donald Trump; em 2020, um adolescente da Flórida obtém acesso a contas verificadas após enganar os funcionários.

Imagem: Jeremy Bezanger/Unsplash

Os sucessivos casos fizeram o Twitter anunciar que mais salvaguardas tinham sido implementadas. Embora afirmadas, a FTC não tem como comprovar exatamente, já que a fiscalização mais próxima dessas empresas não foi possível, pois estavam com muito pouco pessoal na época, segundo um ex-funcionário da agência que trabalhou no caso.

Em 2011, após coletar dos usuários números de telefones sob pretexto de segurança e posteriormente usá-los para fins de marketing, o Twitter teve que desembolsar de US$ 150 milhões por supostamente ter quebrado a ordem de 2011, impedindo a empresa de fazer falsas declarações sobre segurança de dados pessoais.

A queixa de Zatko sugere que as práticas do Twitter foram ainda piores que o conhecimento das reguladoras.

Após a admissão, ele disse ter descoberto que a empresa havia progredido timidamente desde o acordo de 2011. Isso porque, na interpretação de Zatko, segundo a queixa, o pedido exigia ao Twitter a implantação de um programa de Ciclo de Vida de Desenvolvimento de Software, um processo padrão para garantir que o novo código esteja livre de bugs perigosos.

À FTC e à diretoria da empresa, a queixa diz que os funcionários diziam estar fazendo progressos na implementação do programa nos sistemas do Twitter, ao contrário do que o denunciante descobriu: apenas um décimo dos projetos haviam sido enviados, além deste ser tratado como opcional.

Apesar de muitos dos funcionários do Twitter entrevistados confirmarem as queixas de Zatko e se elas forem comprovadas, a empresa sofreria penalidades substanciais, segundo David C. Vladeck, diretor do Departamento de Proteção ao Consumidor da FTC na época do acordo.

“Se tudo isso for verdade, não creio que haja dúvidas de que existem violações de ordem”, disse Vladeck, que agora é professor de Direito de Georgetown, em uma entrevista ao The Washington Post. “É possível que os tipos de problemas que o Twitter enfrentou há onze anos ainda estejam passando pela empresa”.

“Eu me perguntava se a empresa existiria em poucos dias”

A queixa também alega que houve aviso de Zatko à diretoria sobre interrupções sobrepostas nos centros de dados da empresa poderiam deixá-la incapaz de reiniciar corretamente os servidores, o que poderia derrubar o serviço por meses ou causar a perda de todos os dados. A crise “catastrófica iminente” ameaçou a sobrevivência do Twitter em 2021, embora a queixa fale no início do mandato do denunciante.

As falhas em dois centros de dados da empresa preocuparam os funcionários, dois deles se lembraram do incidente. “Eu me perguntava se a empresa existiria em poucos dias”, disse um deles. Ex-funcionários e funcionários também concordaram com a queixa ao chamar os relatórios entregues a reguladores de privacidade de “enganosos, na melhor das hipóteses”.

Semelhante ao caso do Facebook, o Twitter também parece ter problemas com as solicitações de destruição de dados de usuários. Segundo a empresa, a destruição é certa daqueles usuários que questionam. Entretanto, a realidade, segundo a queixa, é outra. Era impossível saber com certeza, pois o material tinha se espalhado consideravelmente dentro das redes do Twitter,  de acordo com ex- e atuais funcionários.

O Project Eraser, que garante a eliminação dos dados, tinha sido recém-concluído, de acordo com um funcionário. Entretanto, uma pessoa familiarizada com o assunto disse que o Twitter havia apenas desativado as contas e melhorado a capacidade de encontrar e apagar os dados.

Imagem: Rokas Tenys/Shutterstock

As acusações não poderiam chegar em um momento pior para o Twitter. Enquanto está em uma batalha legal com Elon Musk, que tenta se livrar do acordo de US$ 44 bilhões para comprar a plataforma de mídia social, o preço das ações caiu, muitos funcionários se demitiram e Agrawal demitiu executivos, congelando grandes projetos.

Ao denunciar sobre as falhas repetitivas do Twitter, trazendo novo escrutínio e responsabilidade, Zatko espera que possa melhorar a empresa. “Ainda acredito que esta é uma plataforma tremenda, e há um valor enorme e um risco enorme, e espero que, olhando para trás, o mundo seja um lugar melhor, em parte por causa disso”, diz.