Twitter, birkaç yüksek profilli hesabın saldırıya uğramasından aylar sonra güvenlik açıklarının üstesinden gelmek için güvenlik sorumlusu olarak bilgisayar korsanı ‘Mudge’u işe aldı.
Artan düzenleme tehdidi altında ve ciddi güvenlik ihlalleri ile boğuşan sosyal medya devi Twitter, mühendislik hatalarından yanlış bilgilendirmelere kadar her şeyi ele almak için dünyanın en saygın bilgisayar korsanlarından birini atıyor.
Şirket Pazartesi günü, bilgisayar korsanı Mudge olarak tanınan Peiter Zatko’yu yeni güvenlik başkanlığına atadı ve ona yapı ve uygulamalarda değişiklik önermesi için geniş bir yetki verdi. Zatko, CEO Jack Dorsey’e bağlı ve 45 ila 60 günlük bir incelemeden sonra temel güvenlik işlevlerinin yönetimini devralması bekleniyor.
Özel bir röportajda Zatko, ‘bilgi güvenliği, site bütünlüğü, fiziksel güvenlik, platform bütünlüğü -ki platformun kötüye kullanımı ve manipülasyonuna dokunmaya başlayan -ve mühendisliğini” inceleyeceğini söyledi.
Pentagon Kökenli
Zatko en son elektronik ödeme girişimi Stripe’da güvenliği denetledi. Bundan önce, Google’da özel projeler üzerinde çalıştı ve Pentagon’un ünlü Savunma İleri Araştırma ve Projeler Ajansı’nda (DARPA) siber güvenlik projelerine yönelik hibeleri dağıtmayı denetledi.
Zatko’nun renkli kariyeri 1990’larda, aynı anda bir hükümet yüklenicisi için gizli işler yürüttüğü ve Microsoft’u güvenliği artırmaya teşvik etmek için Windows hackleme araçlarını yayınlamakla ünlü bir hack grubu olan Cult of the Dead Cow’ın liderleri arasında yer aldığında başladı.
DARPA’da Zatko’yu denetleyen ve şu anda Google’da gelişmiş ürünler grubunu yöneten Dan Kaufman, “Twitter’ın güvenliğini kimse düzeltebilir mi bilmiyorum, ancak listemin başında o yer alır” dedi.
Bir zamanlar Zatko’nun güvenlik danışmanlığı için çalışan Stamos, onu Facebook ve Google’ın mali gücünden yoksun bir şirket için çok uygun olarak nitelendirdi. “Bu sorunlara yaratıcı çözümler bulmaları gerekecek ve Mudge güvenlikteki herhangi bir şeyle ünlüyse, o da yaratıcı olmasıdır.”
Zatko, kendisini Twitter’da kamuya açık konuşmaları geliştirmeye adadığını söyledi. Kullanıcıları sadece retweetlemek yerine yorum yapmaya teşvik ederek ‘etkileişimi’ artırmaya yönelik yeni bir hareketi övdü; Bir sonraki adım, insanları katılmadan önce uzun bir sohbeti anlamaya zorlamak olabilir, dedi.
Zatko, yeni işvereni için “Bazı riskler almaya hazırlar” dedi. “Algoritmaların zorlukları ve algoritmik önyargılarla, başka biri sorunu çözene kadar beklemiyor”
Twitter’ın Güvenlik Sorunları
Twitter çok sayıda güvenlik sorunuyla karşı karşıya. Bir yıl önce, ABD hükümeti, yıllar önce Twitter’da çalıştıkları sırada iki kişiyi Suudi Arabistan adına casusluk yapmakla suçladı ve krallığın eleştirmenleri hakkında özel bilgiler verdiklerini söyledi.
Temmuz ayında bir grup genç bilgisayar korsanı çalışanları kandırdı ve hesap ayarlarını değiştirmelerine ve ardından o zamanki başkan adayı Joe Biden, Microsoft’un kurucusu Bill Gates ve Tesla CEO’su Elon Musk’ın hesaplarından tweet atmalarına olanak tanıyan dahili araçlara erişim kazandı.
“Bu yaz yaşanan veri ihlali, Twitter’ın bu olay nedeniyle tutuklanan gençlerden çok daha yetenekli düşmanların hedeflediği bir hizmeti yürütmek için gerekli temel güvenlik işlevlerinden bazılarını oluşturmak için ne kadar ileri gitmesi gerektiğinin önemli bir hatırlatıcısıydı.” dedi eski Facebook baş güvenlik görevlisi ve seçim dezenformasyonuyla mücadele çabalarına öncülük eden Stanford araştırmacısı Alex Stamos.
FBI şu anda, hackerların yüksek profilli hesapları ele geçirdiğini gören Twitter’ın güvenlik ihlaliyle ilgili federal bir soruşturma yürütüyor. Şirket, bunun nasıl olduğunu veya iç sistemlerinin ne ölçüde tehlikeye atıldığını hala açıklamadı.
Barack Obama, Joe Biden, Bill Gates, Jeff Bezos ve Elon Musk, Temmuz ayında hackerların Twitter’ın iç sistemlerine sızdığını ve insanlardan Bitcoin göndermelerini isteyen sahte tweetler gönderildiğine şahit olan dört saatlik saldırının kurbanları arasında yer alan yüksek profilli hesapların sahipleriydiler.
Blok zinciri kayıtlarına göre, dolandırıcılar, dört saatlik süreçte 300’den fazla kişiden 12,8 bitcoin’e denk gelen 116.000 $’dan fazla kripto para aldı.
Hâlâ araştırdıklarını söyleyen Twitter, şu ana kadar en az bir çalışanının saldırıya karıştığını belirtti.
Mudge Kimdir?
Mudge, yaklaşık 20 yıl önce Kongre’ye interneti 30 dakika içinde kapatabileceğini söyleyen ünlü bir hacker.
Hacker dünyasında Mudge olarak bilinen Peiter Zatko, Boston’daki öncü bilgisayar korsanlığı grubu olan L0pht’in yanı sıra uzun ömürlü bilgisayar ve kültür korsanlığı kooperatifi Cult of the Dead Cow’ın en tanınmış üyesiydi.
Daha yakın zamanlarda, bilgisayar güvenlik projeleri için Savunma Bakanlığı hibe programına başkanlık etti.
Mudge, L0pht ile ilgilenirken, bilgi ve güvenlik açıkları hakkında açıklama ve eğitime önemli ölçüde katkıda bulundu.
2010 yılında Mudge, siber güvenlik araştırmalarını denetlediği bir devlet kurumu olan Savunma İleri Araştırma Projeleri Ajansı’nda (DARPA) program yöneticisi olarak bir pozisyon kabul etti.
2013 yılında Mudge, Gelişmiş Teknoloji ve Projeler bölümünde Google için çalışmaya başladı.
Aralık 1970’te doğan Mudge, Berklee College of Music’ten sınıfının birincisi olarak mezun oldu ve usta bir gitarist.
Mudge, arabellek taşması olarak bilinen bir tür güvenlik açığına yönelik erken araştırmalardan sorumluydu.
Mudge, hacker topluluğundan hükümet ve endüstriye ulaşıp ilişki kuran ilk kişilerden biriydi. Bir konuşmacı olarak talep gören DEF CON gibi hacker konferanslarında ve USENIX gibi akademik konferanslarda konuştu.
1998’de Senato komitesi önünde o dönemde İnternet’in ciddi güvenlik açıkları hakkında ifade veren yedi L0pht üyesinden biriydi.
2000 yılında, İnternetin dağıttığı hizmet reddi saldırılarının ardından, kabine üyeleri ve sektör yöneticileriyle birlikte bir güvenlik zirvesinde Başkan Bill Clinton ile görüşmeye davet edildi.
2004 yılında, ilk olarak 1990’larda çalıştığı devlet müteahhidi BBN Technologies’de bölüm bilimcisi oldu ve ayrıca NFR Security’nin teknik danışma kuruluna katıldı.
2010 yılında, siber güvenlik alanındaki araştırmaları yönlendirmeye odaklanan bir DARPA projesinin yöneticisi olacağı açıklandı.
2013 yılında Google ATAP’ta bir pozisyon için DARPA’dan ayrılacağını duyurdu.
2015 yılında Zatko, Twitter’da, Beyaz Saray tarafından yetkilendirilen Underwriters Laboratories’den esinlenen bir bilgisayar güvenliği test kuruluşu olan #CyberUL adlı bir projeye katılacağını duyurdu.
