مسؤول سابق في تويتر يكشف مشاكل أمنية تهدد خصوصية المستخدمين

كشف مسؤول سابق في تويتر عن مشاكل أمنية في سياسات حماية خصوصية وأمان بيانات المستخدمين، مشيراً إلى أن إدارة المنصة تحاول إخفاء تلك المشكلات عن السلطات الأميركية والمستثمرين والمستخدمين.

ونقل تقرير لشبكة "سي ان ان" الأميركية عن مدير أمن المعلومات السابق في تويتر، بايتر زاتكو، قوله إن المشكلات الأمنية في تويتر تجعل المنصة عرضة للتجسس الأجنبي والاختراق وحملات نشر المعلومات المغلوطة، إلى جانب عشوائية تخزين بيانات المستخدمين دون الاعتماد على الحد الأدنى من البروتوكولات الأمنية لحماية خصوصية تلك البيانات.

وأوضح زاتكو، والذي تمت إقالته في يناير الماضي، أن مديري تويتر غير قادرين على تحديد العدد الحقيقي للحسابات المزيفة والروبوتية، وهو أمر محوري في دعوى قضائية قائمة ستحدد مصير صفقة استحواذ رجل الأعمال إيلون ماسك على تويتر بقيمة 44 مليار دولار.

وخرج زاتكو ليكشف هذه الأسرار بدعم من مؤسسة Whistleblower Aid، والتي دعمت العام الماضي موظفة ميتا السابقة فرانسيس هوجين؛ في كشفها لأسرار صادمة بشأن منصتي فيسبوك وانستجرام.

وتواصل المدير السابق في تويتر مع العديد من المؤسسات الحكومية الأميركية، مثل هيئة التداول في البورصة، وكذلك لجنة التجارة الفيدرالية، إضافة إلى الكونجرس وعدد من الوكالات الفيدرالية.

وحصلت شبكة "سي إن إن" الإخبارية وصحيفة "واشنطن بوست" على نسخة من المستندات الرسمية التي قدمها زاتكو للجهات الأميركية، والتي يفوق عددها 200 ورقة.

"الأولوية للخصوصية"

من جانبه، أكد المتحدث الرسمي باسم تويتر أن "الخصوصية والأمن المعلوماتي يقعان على قمة أولويات الشركة"، مشيراً إلى أن تويتر تقدم للمستخدمين كافة الأدوات البرمجية المُيسرة التي تسهل عليهم إمكانية التحكم في خصوصية بياناتهم المختلفة، وكذلك ما يتعلق باستهدافهم الإعلاني ومشاركة البيانات.

وأشار المتحدث باسم تويتر إلى أن "زاتكو" تم إقصاءه من منصبه مطلع العام الجاري؛ على خلفية ضعف الأداء وعدم كفاءته للقيادة، مشدداً على أن مزاعم المدير السابق للأمن المعلوماتي بالمنصة خاطئة، إلى جانب اختيارها هذا التوقيت للظهور أمام العامة للفت الانتباه، وكذلك الإضرار بمصالح المنصة ومستثمريها ومستخدميها، حسب تعبيره.

وفي حواره مع "سي ان ان"، أوضح زاتكو أن قراره بكشف ضعف إجراءات تويتر لحماية الخصوصية وأمن المعلومات اتخذه قبل انضمامه إلى الشركة، وتحديداً مع اختراق مدمر تعرضت له منصة التغريدات في عام 2020، ونتج عنه اختراق حسابات مجموعة من الشخصيات العامة والمشاهير، مثل الرئيس السابق باراك أوباما والمرشح الرئاسي حينها جو بايدن، والذي أصبح فيما بعد رئيساً للولايات المتحدة، وإيلون ماسك.

وبعد هذه الواقعة، تواصل مؤسس تويتر ومديرها السابق، جاك دورسي، مع زاتكو للعمل رئيساً لقطاع الأمن المعلوماتي، وكان لديه تاريخ حافل من المناصب رفيعة المستوى في القطاعات الأمنية بشركات جوجل وسترايب، وكذلك وزارة الدفاع الأميركية، إلى جانب تلقيه عرض من إدارة بايدن لشغل منصب في الحكومة.

صلاحيات الموظفين

وبمجرد توليه مهام منصبه، اكتشف زاتكو ما قال إنها "ممارسات ضعيفة للمنصة بشأن أمنها المعلوماتي، وإتاحة صلاحية الوصول لأدوات برمجية حساسة في أنظمتها الداخلية لحوالي نصف قوة الشركة من الموظفين".

وانتقد زاتكو قلة الإمكانات البرمجية المتاحة لتويتر داخلياً، إذ لا يمكن للإدارة معرفة ما يجري على الحواسيب الشخصية للموظفين داخل الشركة، وبالتالي فإن أي مخالفة يتم القيام بها سيصعب الوقوف على المذنب وراءها، موضحاً أن 4 من أصل كل 10 أجهزة داخل الشركة لا تتوفر بها المعايير الأمنية الأساسية.

كما أوضح زاتكو في المستندات السرية المقدمة للجهات الرسمية والكونجرس، أن خوادم تويتر نفسها تعاني مشاكل أمنية كبرى، وأشار إلى أن حوالي نصف خوادم الشركة، والتي يبلغ عددها 500 ألف خادم إلكتروني، لا تدعم المعايير الأمنية الأساسية، مثل تشفير البيانات والحرص على تثبيت التحديثات الأمنية الدورية من مقدمي الخدمات.

وحذّر مدير أمن المعلومات السابق بتويتر من أن الشركة تفتقر إلى الإجراءات الكافية لإعادة التشغيل أو التعافي من أعطال مراكز البيانات، ما يعني أن الانقطاعات الطفيفة للعديد من مراكز البيانات في نفس الوقت يمكن أن تؤدي إلى تعطيل اتصال المستخدمين بتويتر بشكل كامل.

وفيما لم ترد الشركة على أسئلة بشأن مخاطر انقطاع مركز البيانات، أوضح المتحدث باسم تويتر أن مسؤولي فرق الهندسة والمنتجات بالشركة "مخولون للوصول إذا كان لديهم مبرر عمل محدد للقيام بذلك".

فحوص آلية

وأضافت الشركة أن موظفيها يستخدمون الأجهزة التي تشرف عليها فرق أخرى لتكنولوجيا المعلومات والأمن، مع القدرة على منع الجهاز من الاتصال بأنظمة داخلية حساسة إذا كانت تلك الأجهزة تستخدم إصدارات قديمة من أنظمة التشغيل وغير مُحدثة.

كما أكدت على إجرائها فحوصات آلية للتأكد من أن الحواسيب الشخصية التي تعمل ببرامج قديمة لا يمكنها الوصول إلى بيئة الإنتاج، وأنه لا يجوز للموظفين إجراء تغييرات على منصة تويتر بشكل مباشر، إلا بعد أن يلبي الرمز متطلبات معينة لحفظ السجلات والمراجعة.

ولدى تويتر أدوات أمان داخلية يتم اختبارها بشكل دوري، إلى جانب خضوعها لاختبارات كل عامين بواسطة مدققين خارجيين، وفقاً للشخص المطلع على فترة عمل زاتكو في تويتر، موضحاً أن بعض إحصائيات زاتكو المحيطة بأمن الجهاز تفتقر إلى المصداقية، وقد اشتقها فريق صغير لم يفسر بشكل صحيح الإجراءات الأمنية الحالية المطبقة في منصة التغريدات.

يُذكر أن مشاكل تويتر الأمنية قد خرجت للعلن عام 2010، عندما أقامت لجنة التجارة الفيدرالية شكوى ضد تويتر بشأن سوء تعامل المنصة مع بيانات المستخدمين، وقدرة عدد كبير من الموظفين بتويتر على الوصول إلى الأنظمة الرئيسية للمنصة، وقد تعهدت تويتر في ذلك الوقت بتعديل مساره، وذلك عن طريق إنشاء "برنامج شامل للحفاظ على أمن المعلومات".

تصريحات لصالح ماسك؟

ومخاطر إفشاء زاتكو لأسرار تويتر هائلة، إذ قد يؤدي ذلك إلى فرض غرامات جديدة بمليارات الدولارات على المنصة، إذا تبين أنها انتهكت التزاماتها القانونية، وفقاً لجون ليبوفيتز، الذي كان رئيساً للجنة التجارة الفيدرالية في وقت إصدار تويتر برنامجها الأمني التصحيحي بشأن شكوى اللجنة في عام 2011.

تأتي قنبلة مستندات "زاتكو" في توقيت مثالي بالنسبة لرجل الأعمال إيلون ماسك، إذ تتزامن مع سعيه لجمع كافة البيانات والمستندات الممكنة التي تثبت صحة وجهة نظره بشأن رغبته في الانسحاب من صفقة استحواذه على تويتر مقابل 44 مليار دولار، على خلفية شكه في ادعاءات تويتر بأن نسبة الحسابات المزيفة والروبوتية من إجمالي المستخدمين لا يتجاوز 5%.

ويؤكد جون تاي، مؤسس "ويسل بلور آيد" التي تمثل زاتكو قانونياً، أن مدير تويتر السابق لأمن المعلومات لم يلتق أو يتصل بـ"ماسك"، وأن نيته لكشف مشاكل تويتر بشكل علني قد بدأت تتشكل قبل خوض ماسك في صفقة تويتر.