Twitter内部告発者のザトコ氏、上院公聴会で証言 「経営陣は規制当局をだました」
Twitterを1月に退社し、8月に内部告発したピーター・“マッジ”・ザトコ氏が乗員公聴会で証言した。従業員が職場のPCにスパイウェアをインストールしていたことや、やめたユーザーのデータを完全に削除していないことなどを指摘した。
米Twitterを1月に退社し、8月に同社の問題について内部告発した元セキュリティ責任者で伝説的なハッカーとして知られるピーター・“マッジ”・ザトコ氏は9月13日(現地時間)、米上院司法委員会の公聴会「Data Security at Risk: Testimony from a Twitter Whistleblower」(危険にさらされているデータセキュリティ:Twitter内部告発者の証言)で、約2時間にわたって証言した。
ザトコ氏は宣誓証言(PDF)で、Twitterが外国の諜報機関によって複数回侵入されていたことを示唆し、同社従業員が外部からの要求で職場のPCにスパイウェアを何度もインストールしていたと非難した。
今回の証言では、米連邦捜査局(FBI)がTwitterに、従業員に中国のスパイが潜入していると通告したことや、システムの開発環境にステージング環境がなかったこと(これは奇妙で例外的だと説明)、従業員のログ記録がないことで従業員の不正を追跡できない状態だったことなど、様々な問題について証言した。「単に、外国諜報機関のスパイを探し出し、自力で追放する基本的な能力を欠いていた」とザトコ氏。
また、従業員が簡単にデータとシステムにアクセスできることから、「みなさん(公聴会に出席している上院議員)全員のアカウントを乗っ取れると言っても過言ではない」と語った。
アカウントを削除したユーザーのデータを確実に削除していないことも指摘した。ザトコ氏は、Twitterの最高プライバシー責任者が、Twitterのデータ削除慣行について尋ねた規制当局を故意に誤解させたことを認めたとも語った。
ザトコ氏は、「内部告発したのはTwitterに損害を与えるためではない。同社の使命を信じており、その成功を応援している。だが、その成功は、ユーザーのプライバシーとセキュリティが守られてこそ実現できる」とも語った。
リンゼイ・グラハム議員(南カリフォルニア選出・共和党)が(イーロン・マスク氏によるTwitter買収問題を踏まえて)内情を知った上でTwitterを買収しようと思うかと尋ねると、ザトコ氏は初めて笑い、「価格によると思う」と答えた。
マスク氏はこの公聴会のライブ配信中、自身のTwitterアカウントでポップコーンの絵文字を投稿した。
マスク氏はTwitterのプロフィールや表示名を比較的頻繁に変える。現在は画像は子どものころのものに、名前はNaughtius Maximus(モンティ・パイソンの作品に登場するローマ人的なギャグ名)にしている。
関連記事
- Twitterの元セキュリティ責任者が内部告発──botとセキュリティについて「重大な欠陥」を隠していた
Twitterを1月に退社した元セキュリティ責任者で伝説的ハッカーのピーター・“マッジ”・ザトコ氏が、同社のセキュリティやbotの問題について当局に告発。訴状を入手したメディアが報じた。 - イーロン・マスク氏、Twitter買収をめぐる裁判でジャック・ドーシー氏に召喚状
Twitter買収撤回でTwitterから提訴されたイーロン・マスク氏が、Twitterの前CEO、ジャック・ドーシー氏に召喚状を提出した。裁判は10月17日に開かれる予定。ドーシー氏にはmDAU関連の資料などの提出を求めている。 - Twitter、ゼロデイ脆弱性悪用の約540万アカウントデータ漏えいを正式に認める
Twitterは、ゼロデイ脆弱性が悪用され、540万以上のアカウント情報が流出したと発表した。悪用されたのは1月にバグ報奨金プログラムで報告を受けた脆弱性で、修正済みだ。ユーザーに2要素認証を使うよう推奨している。 - Twitterのセキュリティ責任者、ピーター・“マッジ”・ザトコ氏退社
Twitterのセキュリティ責任者、ピーター・“マッジ”・ザトコ氏が退社したと報じられた。2020年入社のザトコ氏は伝説のハッカーとして知られる。アラグワル新CEOによる組織再編が続く。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.