Dopo la girandola di polemiche che si è innescata dopo la mancata acquisizione di Twitter da parte di Elon Musk, culminata con pesanti accuse reciproche e citazioni in tribunale, in questi giorni sono spuntate le rimostranze che un ex del social network aveva precedentemente presentato innanzi al Congresso degli Stati Uniti.
Il nome è davvero “di peso”: la denuncia sul comportamento tenuto da Twitter arriva niente meno che da Peiter C. Zatko, meglio noto come Mudge, un esperto in materia di sicurezza delle reti, sviluppatore, scrittore ed hacker.
Zatko è stato uno dei primi ad accorgersi della gravità dei problemi di sicurezza innescabili con un errore di buffer overflow. Quando per errore o con il preciso fine di sfruttare la vulnerabilità di sicurezza vengono inviati più dati della capienza del buffer destinato a contenerli, i dati extra vanno a sovrascrivere variabili interne di un programma o il suo stesso stack. La conseguenza è che un buffer overflow può causare malfunzionamenti o essere utilizzato per assumere il controllo su un programma o sulla macchina ove il codice viene eseguito.
Gli studi di Zatko in materia di buffer overflow risalgono ai primi anni ’90 con la pubblicazione di un testo, che è diventato un vero e proprio punto di riferimento, già nel 1995.
Sviluppatore di diversi strumenti di hacking e attivista come membro della storica organizzazione Cult of the Dead Cow, che molti di noi (specie coloro che hanno qualche capello bianco…) ricordano bene, Zatko era stato scelto da Jack Dorsey in persona per occuparsi della sicurezza di Twitter dopo l’attacco subìto dal social network a luglio 2020.
Ne parlammo anche noi: un aggressore aveva assunto il controllo degli account Twitter di oltre 130 celebrità per poi iniziare a esortare i followers ad effettuare transazioni in Bitcoin.
Arrestato a marzo 2021 l’azione svolta dal 18enne americano ha letteralmente aperto il vaso di Pandora.
Il fatto è che dopo l’assunzione in Twitter a buoi ormai fuggiti, Zatko è stato poi licenziato a gennaio 2022 e allontanato dall’azienda.
Il 23 agosto 2022 sono emersi tutti i dettagli che Zatko aveva nel frattempo presentato sotto forma di denuncia formale alle Autorità USA. Mudge sostiene che Twitter soffrirebbe di “carenze estreme ed eclatanti” nella gestione delle informazioni degli utenti e degli spam bot. Inoltre il social network, sempre a detta di Zatko, avrebbe commesso molteplici violazioni delle vigenti normative.
Così, in seguito a un mandato di comparizione, l’ex capo della sicurezza di Twitter dovrà testimoniare in un processo che verrà avviato il prossimo 13 settembre.
“Le accuse di Zatko su problematiche diffuse in Twitter sul piano della sicurezza e la possibile interferenza di attori statali stranieri sul social network sollevano serie preoccupazioni. Se queste affermazioni corrispondessero al vero potrebbero esservi pericolose implicazioni per la privacy e la sicurezza dei dati per gli utenti di Twitter in tutto il mondo“, hanno affermato Richard J. Durbin e Charles E. Grassley della commissione giudiziaria del Senato USA.
Nel frattempo la portavoce di Twitter Rebecca Hahn ha affermato che l’azienda ha da tempo dato la priorità alla sicurezza e che le rivelazioni di Zatko sembravano essere “piene di imprecisioni“.
Il CEO di Twitter, Parag Agrawal, ha voluto inoltre respingere le affermazioni fatte da Zatko aggiungendo che è stata diffusa una “narrativa falsa” sulle attività dell’azienda con la quale si vuole screditare il social network minandone le basi.
Aaron Turner, CTO SaaS Protect di Vectra AI, ha voluto commentare l’accaduto precisando di conoscere personalmente Mudge dai tempi di Cult of the Dead Cow. “Quando ero in Microsoft, lui e il team di ATstake ci hanno aiutato a migliorare radicalmente la nostra strategia e le nostre tattiche di sicurezza“, continua Turner. “Avendo lavorato a progetti governativi negli ultimi 20 anni, direi che il suo lavoro presso DARPA (Defense Advanced Research Projects Agency) ha fatto una differenza significativa nel modo in cui il governo degli Stati Uniti si è avvicinato alla sicurezza informatica. Ha sempre avuto il più alto livello di integrità e si è attenuto ai più alti standard tecnici di sviluppo e funzionamento dei sistemi. Se Mudge dice che Twitter ha problemi di sicurezza informatica, allora Twitter ha dei grossi problemi“.
Prosegue ancora Turner: “dalle ricerche che ho coordinato dopo l’incidente del 2020 (ne abbiamo parlato nell’articolo, n.d.r.), è risultato evidente che Twitter non disponeva di adeguati controlli sulla gestione degli utenti privilegiati né di politiche di separazione dei compiti per gli sviluppatori e gli amministratori dei propri sistemi. Se la rivelazione di Mudge è corretta, ovvero che Twitter ha un problema significativo di igiene del sistema, combinato con i controlli e le politiche di gestione degli utenti, allora l’intera piattaforma di Twitter è a rischio di compromissione“.