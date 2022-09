Duizenden werknemers die toegang hebben tot persoonlijke data van gebruikers. Een bedrijf dat „winst verkiest boven veiligheid”, alle signalen van securityexperts negeert en „een decennium achterligt” als het gaat om cyberbeveiliging.

Het is dramatisch gesteld met de cyberveiligheid van Twitter. Althans volgens Twitters voormalige hoofd veiligheid Peiter Zatko, die dinsdag tegenover een onderzoekscommissie van de Amerikaanse Senaat getuigde over zijn voormalige werkgever.

Zatko werd in januari dit jaar ontslagen bij Twitter en diende vlak daarna een reeks klachten in bij verschillende Amerikaanse autoriteiten tegen zijn voormalige werkgever. Daarin beschuldigde hij Twitter van het niet nakomen van afspraken met consumentenautoriteit FTC uit 2011. Twitter beloofde destijds nepaccounts op het platform aan te pakken en een nieuw beveiligingsbeleid op te tuigen. De FTC kan Twitter honderden miljoenen dollars boete opleggen voor het negeren van deze overeenkomst.

Volgens Twitter moest Zatko vertrekken vanwege „ineffectief leiderschap en slechte prestaties”. Volgens Zatko moest hij weg vanwege een confrontatie met het bestuur, onder wie topman Parag Agrawal, die zou hebben geweigerd toe te geven dat er sprake is van volgens Zatko „schokkende” beveiligingsproblemen.

Zo had Twitter volgens Zatko totaal geen overzicht van wie er binnen het bedrijf toegang kreeg tot welke data en zou er op een derde van de bedrijfscomputers geen beveiligingsupdates zijn geïnstalleerd. Volgens Zatko leidde de interne chaos ertoe dat Chinese en Indiase spionnen bij Twitter een baan wisten te bemachtigen. Die zouden ze vervolgens hebben ingezet om locatiedata van gebruikers te verzamelen voor hun inlichtingendiensten.

Lees ook dit portret van Elon Musk: ‘De man die Twitter toch niet koopt: de 7 gezichten van Elon Musk’

Telefoontruc

Peiter Zatko (51), in de securitywereld bekend onder de bijnaam ‘mudge’ (modder), werd in 2020 gerekruteerd door Twitter-oprichter Jack Dorsey. Twitter was dat jaar getroffen door een groot beveiligingslek, nadat een groep tieners onder leiding van de 17-jarige Amerikaan Graham Clark via een telefoontruc de wachtwoorden van enkele Twitter-werknemers wist te achterhalen.

Met behulp van die wachtwoorden kreeg Clark toegang tot de accounts van een groep prominente Twitteraars, onder wie Tesla-oprichter Elon Musk en PVV-leider Geert Wilders. Vanuit een deel van de accounts riepen de hackers miljoenen twitteraars op om geld te storten. Clark verdiende 120.000 dollar met zijn truc en ging uiteindelijk drie jaar de gevangenis in.

Zatko voerde na de hack tweefactor-authenticatie in voor alle Twitter-werknemers. Maar, zo constateerde hij: dat was slechts een van de vele maatregelen die Twitter moest nemen om de interne beveiliging op orde te krijgen. Dinsdag stelde Zatko tegenover de Senaat dat het Twitter-bestuur veel van zijn adviezen consequent negeerde.

Voor Twitter komt de getuigenis van Zatko op een slecht moment. Het bedrijf is in een juridische strijd verwikkeld met Elon Musk, Twitters grootste aandeelhouder. Musk kondigde in april aan Twitter te kopen voor 44 miljard dollar, maar trok zich vlak daarna terug uit de deal. Zijn belangrijkste bezwaar: Twitter zou Musk verkeerd hebben voorgelicht over het aantal spamaccounts op het platform.

Om hem te dwingen zijn koop door te zetten heeft Twitter Musk voor de rechter gedaagd. Tijdens de rechtszaak, die 17 oktober van start gaat in de Amerikaanse staat Delaware, komt ook de getuigenis van Peiter Zatko opnieuw ter sprake. Een verzoek daartoe van Musk werd door de rechter begin deze maand toegestaan.