[ad_1]
Zakto afirma además que Twitter no cuenta con entornos extensos de desarrollo o prueba para probar nuevas funciones y actualizaciones del sistema antes de implementarlas en el software de producción en vivo. Como resultado, Zatko describe una situación en la que los ingenieros trabajan junto con sistemas en vivo y «realizan pruebas directamente en el servicio comercial, lo que genera interrupciones periódicas del servicio». Y los documentos alegan que la mitad de los empleados de Twitter tenían acceso privilegiado a sistemas de producción en vivo y datos de usuarios sin vigilancia para detectar acciones maliciosas o rastrear actividades no deseadas. La denuncia de Zatko describe que Twitter tiene aproximadamente 11.000 empleados. Twitter dice que actualmente tiene alrededor de 7.000 empleados.
Las quejas afirman que estas malas prácticas de seguridad explican el historial de incidentes de seguridad, violaciones de la privacidad y tomas de cuenta peligrosas de Twitter.
«Estamos revisando las afirmaciones redactadas que se han hecho públicas», dijo el CEO de Twitter, Parag Agrawal. escribió en un mensaje al personal de Twitter esta mañana. «Haremos lo que sea necesario para defender nuestra integridad como empresa y hacer las cosas bien».
Twitter dice que todas las computadoras de los empleados se administran de manera centralizada y que TI puede forzar actualizaciones o imponer restricciones de acceso si las actualizaciones no están instaladas. La compañía también dijo que antes de que una computadora pueda conectarse a los sistemas de producción, debe pasar una auditoría para garantizar que su software esté actualizado, y solo los empleados con una «justificación comercial» para «fines específicos» acceden al entorno de producción. ”
Al Sutton, cofundador y director de tecnología de Snapp Automotive, fue ingeniero de software en Twitter desde agosto de 2020 hasta febrero de 2021. Señaló en un tuit el martes que Twitter nunca lo ha eliminado del grupo de personal de GitHub, que puede enviar cambios de software para la codificación que la empresa mantiene en la plataforma de desarrollo. Sutton tuvo acceso a repositorios privados durante 18 meses después de ser despedido de la empresa y recibos publicados que Twitter usa GitHub no solo para el trabajo público de código abierto sino también para proyectos internos. Aproximadamente tres horas después de publicar sobre el acceso, Sutton reportado que fue revocado.
«Creo que Twitter es bastante informal sobre las afirmaciones de Mudge, así que pensé que un ejemplo verificable podría ser útil para las personas», dijo a WIRED. Cuando se le preguntó si las acusaciones de Zatko concuerdan con su propia experiencia en Twitter, Sutton agregó: «Creo que lo mejor que puedo decir aquí es que no tengo motivos para dudar de sus afirmaciones».
Los ingenieros e investigadores de seguridad enfatizan que, si bien existen varias formas de abordar la seguridad de los entornos de producción, existe un problema conceptual cuando los empleados tienen un amplio acceso a los datos de los usuarios y al código implementado sin un registro extenso. Algunas organizaciones adoptan el enfoque de limitar drásticamente el acceso, mientras que otras usan una combinación de acceso más amplio y monitoreo constante, pero ambas opciones deben ser una elección consciente en la que una empresa ha invertido mucho. La empresa optó por el enfoque anterior.
«En realidad, no es raro que las empresas tengan políticas relativamente permisivas sobre dar acceso a los ingenieros a los sistemas de producción, pero cuando lo hacen, son muy, muy estrictos en cuanto a registrar todo lo que se hace», dice Perry Metzger, socio gerente de la consultora. Metzger. Dowdeswell & Co. «Mudge tiene una excelente reputación, pero digamos que era completamente incompetente. Sería fácil para ellos proporcionar detalles técnicos de los sistemas de registro que utilizan para el acceso de los ingenieros a los sistemas de producción. Pero lo que representa Mudge es una cultura en la que la gente prefiere encubrir las cosas que arreglarlas, y eso es lo inquietante».
Zatko y Whistleblower Aid, el grupo legal sin fines de lucro que lo representa, dicen que respaldan los documentos publicados el martes. “Twitter tiene un impacto descomunal en la vida de cientos de millones de personas en todo el mundo y tiene obligaciones fundamentales con sus usuarios y el gobierno para proporcionar una plataforma segura”, dijo Libby Liu, directora ejecutiva de Whistleblower Aid, en un comunicado.
Por ahora, sin embargo, las acusaciones plantean una serie de preocupaciones graves que es poco probable que se expliquen rápidamente o se resuelvan de manera integral.
[ad_2]