Twitter, troppi bot e zero sicurezza: le rivelazioni di Peiter Zatko

Il whistleblower Peiter Zatko ha rivelato una lunga serie di informazioni potenzialmente distruttive per Twitter: vediamo quali argomenti ha toccato.

Twitter, troppi bot e zero sicurezza: le rivelazioni di Peiter Zatko
Articolo a cura di

Il mondo dei social network è delicato e periodicamente percorso da scandali che rischiano di mettere a repentaglio la reputazione di intere aziende: il caso di Facebook e Cambridge Analytica, in questo senso, ha fatto scuola già nel 2018, minando la fiducia nel nome di Mark Zuckerberg e della sua azienda al punto da portare al clamoroso rebranding da Facebook a Meta, avvenuto a fine ottobre 2021.
Nelle scorse settimane è stata Twitter a finire nell'occhio del ciclone a causa delle rivelazioni del whistleblower Peiter Zatko, ex-capo della sicurezza dell'azienda con un passato di tutto rispetto, a metà tra il DARPA del Dipartimento della Difesa degli Stati Uniti e la divisione Advanced Projects & Research di Google. Ma quali sono le dichiarazioni di Zatko? Come potrebbero impattare sul futuro di Twitter? E poi, cosa c'entra il processo tra Twitter e Elon Musk con la vicenda del whistleblower?

Vendetta o senso del dovere?

Andiamo con ordine e cerchiamo di capire in primo luogo i motivi dietro alle azioni di Peiter Zatko, che il 23 agosto scorso ha presentato un atto di citazione contro Twitter presso il Congresso di Washington.

Zatko è stato assunto da Twitter nel 2020, dopo una sfavillante carriera da ricercatore per la cybersicurezza e hacker white-hat: non è chiaro cosa non abbia funzionato nel rapporto con l'azienda fondata da Jack Dorsey, per cui Zatko svolgeva le funzioni di capo della sicurezza, ma è certo che questi sia stato licenziato a gennaio 2022 dalla compagnia, insieme a buona parte dello staff della cybersecurity aziendale. Lo scorso mese, in quello che alcuni considerano un atto di "vendetta" nei confronti dell'azienda, Zatko ha presentato una citazione contro Twitter alla SEC (Securities and Exchange Commission) americana, accusando la compagnia di aver ingannato i propri azionisti e la FTC (Federal Trade Commission) "gonfiando" i numeri dei propri utenti attivi e mancando di seguire alcune delle linee guida di Washington in termini di cybersecurity.

La citazione di Zatko, della lunghezza di circa 200 pagine, è stata ottenuta in formato integrale dalla CNN e dal Washington Post, che l'hanno ripubblicata sulle proprie pagine.

Lo stesso whistleblower, quando le sue rivelazioni sono state fatte circolare dalla stampa, ha spiegato di averle rese pubbliche per "fedeltà" nei confronti di Jack Dorsey, fondatore di Twitter, che nel 2020 aveva personalmente assunto il ricercatore dopo che Twitter era stata colpita da un enorme attacco hacker che aveva compromesso profili come quelli di Bill Gates, Elon Musk e Barack Obama. L'ex-capo della sicurezza di Twitter, infatti, ha spiegato che "la via che ho intrapreso non è stata la mia prima scelta, ma credo sia l'unico modo per portare a termine i miei obblighi nei confronti di Jack Dorsey e degli utenti del social network". Prima di continuare, è importante ricordare che Twitter ha preso le distanze dalle dichiarazioni di Zatko, definendole "largamente imprecise" e spiegando che il ricercatore è stato licenziato per via delle sue "pessime performance" e di una "leadership inefficiente".

Cinque sono le accuse principali mosse dal whistleblower nei confronti dell'azienda, ovvero di aver ignorato i bot sul social network, di aver ingannato la FTC, di aver assunto degli ufficiali governativi per il controllo di alcuni utenti, di non essere in grado di eliminare i dati dei suoi utenti e, infine, di garantire accesso illimitato ai dati sensibili e al software di base del social a tantissimi impiegati della compagnia.

Una cybersecurity compromessa

Tralasciando per un momento la questione dei bot, la nostra analisi non può che partire dai problemi di sicurezza di Twitter evidenziati dal whistleblower.

Zatko, in particolare, ha spiegato che Twitter garantisce un accesso "indiscriminato" ai sistemi di base della propria piattaforma a circa metà dei ben 7.000 dipendenti della compagnia: in altre parole, 3.500 impiegati di Twitter avrebbero accesso al "cuore" del social. Non solo: i privilegi di accesso garantiti da Twitter ai suoi dipendenti permetterebbero loro di apportare modifiche e alterazioni al software e agli algoritmi che gestiscono la piattaforma, nonché di accedere ai dati sensibili degli utenti che la utilizzano.
Un accesso così ampio e con dei privilegi così elevati al codice sorgente di Twitter è decisamente poco comune per una Big Tech, dal momento che comporta degli evidenti rischi di sicurezza per la piattaforma: basta un impiegato malintenzionato per creare enormi problemi, fughe di dati e di notizie o, peggio, problemi di sicurezza potenzialmente irreversibili. Per di più, secondo Zatko, nessuno si occuperebbe di controllare chi accede al "cervello" di Twitter, quando lo fa e perché lo fa, mentre il codice sorgente della piattaforma sarebbe "presente per intero su migliaia di laptop aziendali".

La preoccupazione è duplice: da un lato, la presunta negligenza di Twitter lascia il fianco scoperto a possibili attacchi hacker e a fughe dei dati degli utenti; dall'altro, la facilità di accesso alle informazioni che il social si trova a gestire potrebbero renderlo una "preda" per agenzie di spionaggio e di intelligence, oppure per gruppi criminali organizzati.

In effetti, poco prima che le rivelazioni di Zatko uscissero allo scoperto, una sentenza contro un impiegato di Twitter di San Francisco stabiliva che questi avrebbe venduto dati degli utenti ai servizi segreti dell'Arabia Saudita sfruttando i privilegi di accesso che erano garantiti dal suo ruolo nella compagnia.
Zatko, invece, riporta un altro caso su questa stessa falsariga: secondo l'ex-capo della sicurezza del social network, infatti, Twitter avrebbe assunto un funzionario governativo indiano in virtù di alcuni accordi con Nuova Delhi, dandogli "accesso a un vasto ammontare di dati sensibili degli utenti Twitter", forse con lo scopo di aiutare le autorità indiane nell'identificazione degli oppositori politici e nella repressione del dissenso contro il Governo in carica.

A peggiorare ulteriormente le cose, poi, è il fatto che Twitter non riesca a cancellare i dati dei suoi utenti in via definitiva, neanche quando questi cancellano il proprio profilo dalla piattaforma. Secondo Zatko, ciò è dovuto alla ridondanza e alla casualità con cui i dati sono sparsi sui sistemi dell'azienda stessa, che di fatto renderebbe impossibile per quest'ultima essere certa di aver eliminato definitivamente le informazioni di chi ne fa richiesta. Fortunatamente, Twitter ha affermato di aver recentemente terminato i lavori su "Project Eraser", un sistema di cancellazione dei dati degli utenti da tutte le macchine che ne ospitano una copia.

Quest'ultima dichiarazione, però, sembra confermare indirettamente le accuse di Zatko, specie riguardo al fatto che Twitter avrebbe mentito alla FTC: nell'ormai lontano 2010, infatti, la Federal Trade Commission aveva sanzionato la compagnia per non essere riuscita a proteggere i dati dei propri utenti, imponendole un accordo relativo alla gestione delle informazioni sensibili, che sarebbe tuttora in vigore. Secondo Zatko, Twitter avrebbe più volte calpestato l'accordo nel corso degli anni, rilasciando delle "dichiarazioni false e ingannevoli alla FTC", presumibilmente per evitare le ripercussioni del mancato rispetto dell'accordo.

Elon Musk e il "tasto dolente" dei bot

Accanto alle questioni più direttamente legate alla cybersecurity aziendale, poi, Zatko si è espresso sui bot presenti su Twitter, accusando l'azienda di ignorare il problema. Come ormai tutti sapranno, la questione dei bot è centrale nel processo tra Elon Musk e Twitter, con quest'ultima che ha citato in giudizio il CEO di Tesla per essersi ritirato dalle trattative per l'acquisto della stessa Twitter iniziate in primavera.

I documenti riportati da Zatko spiegherebbero che i manager di Twitter ignorerebbero i bot per via di un sistema di bonus che favorisce, con aumenti di stipendio fino a dieci milioni di dollari, gli executive che aumentano il numero "puro" di utenti per la piattaforma. Tale sistema si sarebbe nel tempo trasformato in una sorta di circolo vizioso ed eliminare il numero di bot su Twitter farebbe diminuire nettamente anche lo stipendio del board dei suoi dirigenti, che per questo avrebbero finora evitato di prendere provvedimenti in tal senso.
Per di più, sempre per questioni legate ai bonus per i dirigenti, Twitter adotterebbe un particolare sistema di calcolo dei suoi utenti attivi, il quale includerebbe anche account spam e bot facilmente identificabili per dare l'idea che la piattaforma sia popolata da più utenti di quelli reali. A ciò, poi, va aggiunto che non è possibile sapere con quali finalità i bot vengano creati e da chi: accanto alle truffe e alla promozione a pagamento degli account, infatti, negli ultimi anni si è fatta più concreta la possibilità di utilizzare Twitter e i social con fini politici, impiegando per esempio i bot per orientare le campagne elettorali in favore di una parte politica o dell'altra, con possibili interferenze di Stati esteri nelle elezioni di altri Paesi.

Sfortunatamente, il whistleblower non ha spiegato quanti sono i bot su Twitter, pur lasciando intendere che le stime della stessa Twitter sul numero di tali account siano sbagliate.

Al momento, in effetti, la questione del numero di profili finti sulla piattaforma è piuttosto spinosa: la compagnia dietro al social network aveva inizialmente riportato che essi fossero pari al 5% degli utenti totali, salvo successivamente ritrattare e dare un numero diverso, vicino al 10% degli utenti complessivi.
Secondo Elon Musk, invece, i bot su Twitter sono molti di più: il miliardario sudafricano, infatti, ritiene che possano essere addirittura pari al 20-25% degli utenti della piattaforma. A questo punto le vicende di Zatko e di Musk, però, si incrociano: non solo il whistleblower testimonierà contro Twitter nel processo che vede imputato il CEO di Tesla, ma dall'altra parte la stessa Twitter ha accusato Musk di aver pagato Zatko per pubblicare le sue indiscrezioni.
Il tempismo dell'arrivo di queste ultime sui giornali, infatti, è quantomeno sospetto: il processo Twitter contro Musk inizierà a ottobre e potrebbe essere proprio Zatko, con le sue rivelazioni, a permettere a Musk di ritirarsi dall'accordo già siglato con l'azienda fondata da Jack Dorsey senza dover pagare un centesimo della penale miliardaria prevista dal contratto stesso.