בנובמבר 2020 גייסה טוויטר לשורותיה את פיטר "מאדג'" זאטקו, מומחה בעל שם לאבטחת מידע, על מנת לעשות סדר בחברה. זה קרה חודשים ספורים אחרי אחת הפרשיות המביכות בתולדות הרשת החברתית: שלושה האקרים, שניים מהם בני נוער, הצליחו להשתלט על חשבונות של פוליטיקאים, אנשי עסקים וידוענים כמו ג'ו ביידן, ברק אובמה, אילון מאסק, קים קרדשיאן ואחרים על מנת לפרסם בשמם הודעות מזויפות שסייעו להם לגרוף לכיסם ביטקוין בשווי של יותר מ-100 אלף דולר.
עוד כתבות שיעניינו אתכם:
כמעט שנתיים לאחר מכן, אותו זאטקו חתום על תצהיר דרמטי שנשלח לנציבות הסחר הפדרלית (FTC), לרשות לניירות ערך (SEC), למחלקת המשפטים ולקונגרס ובתוכו שורה של האשמות חמורות כלפי טוויטר. המסמך עלול לסבך את הרשת החברתית עד צוואר באחת התקופות הרגישות בתולדותיה - פחות מחודשיים לפני פתיחת המשפט בתביעה שלה נגד אילון מאסק, שנסוג באופן חד-צדדי מההסכם לרכוש אותה תמורת 44 מיליארד דולר.
התצהיר של זאטקו מצייר תמונה מדאיגה למדי של אחת הרשתות החברתיות החשובות והמשפיעות בעולם. את הנהלת טוויטר הוא מתאר כמי שפועלת באופן רשלני וכושל, מעדיפה להסתכל לצד השני כאשר היא נתקלת בסוגיות חשובות של אבטחת מידע ואפילו משקרת למשתמשים, למשקיעים ולרגולטורים.
זאטקו, דמות ידועה ונערצת בקהילת הסייבר, טוען בין היתר כי הפרקטיקות של טוויטר בתחום אבטחת המידע מיושנות ואף מסוכנות. לפי התצהיר שלו, לאלפי המהנדסים של החברה יש גישה בלתי מוגבלת למערכת, והיא מאפשרת להם לפתח פיצ'רים על המוצר הסופי של טוויטר, תוך שהם משתמשים בדאטה אמיתי של המשתמשים. זאת בניגוד לחברות כמו גוגל ומטא, שבהן המפתחים כותבים את הקוד ועורכים בדיקות בסביבה מבוקרת ומבודדת עם דאטה מפוברק.
הפרקטיקה הזו מסוכנת ומדאיגה מכמה סיבות: קודם כל, היא מאפשרת למהנדסים לחטט במידע אישי של משתמשים. שנית, עדכון שעלה לאוויר עם טעות או חולשת אבטחה בקוד יכול להפיל בקלות את כל השירותים של החברה או חלק מהם. בנוסף, טוען זאטקו כי קוד המקור של טוויטר הועתק במלואו לאלפי מחשבים ניידים וכי תקריות אבטחה מתרחשות בחברה בתדירות גבוהה של אחת לשבוע.
מרגלים בטוויטר
אחת הטענות המדאיגות ביותר של זאטקו נוגעת להתערבות זרה בטוויטר. לפי התצהיר שלו, זמן קצר לפני שפוטר מהחברה, קיבלה החברה מידע מהממשל האמריקני על כך שלפחות אחד מהעובדים בחברה עובד עבור סוכנות מודיעין זרה. לא ברור אם טוויטר נקטה בפעולה כלשהי בעקבות המידע שקיבלה. בנוסף, זאטקו טוען כי ממשלת הודו "הכריחה" את טוויטר לגייס לשורותיה סוכן מטעמה והוא קיבל גישה למידע רגיש של החברה. אם המידע הזה נכון, זאת לא תהיה הפעם הראשונה שבה סוכן זר חדר לטוויטר: מוקדם יותר החודש הרשיע בית משפט בארה"ב עובד לשעבר בחברה בריגול למען סעודיה.
עוד טוען זאטקו כי טוויטר לא עמדה בהתחייבויותיה כלפי ה-FTC במסגרת הסכם פשרה מ-2011 ופרסמה "הצהרות שגויות ומטעות" בפניה ובפני המשתמשים; שהחברה לא מחקה מידע של משתמשים שעזבו את הפלטפורמה בגלל שהתקשתה להתחקות אחריו; ושחלק מהשרתים של החברה מריצים תוכנות לא מעודכנות ועלולים להוביל לקריסה של הרשת החברתית.
אבל הטענה הנפיצה ביותר של זאטקו קשורה באופן ישיר לנושא שעומד בלב הסכסוך המשפטי בין טוויטר לבין אילון מאסק - סוגיית הבוטים והמשתמשים המזויפים בפלטפורמה. מאסק, נזכיר, מבקש לסגת מההסכם עם טוויטר בטענה שהחברה שיקרה כאשר הצהירה כי מספרם של חשבונות אלה עומד על פחות מ-5%. זאטקו מחזק בתצהיר את טענותיו של מאסק ואומר כי שיטת המדידה של טוויטר מטעה וכי לבכירים בחברה יש תמריץ בדמות בונוסים של מיליוני דולרים להגדיל את מספר המשתמשים בפלטפורמה ולא להסיר חשבונות בעייתיים.
לפי התצהיר של זאטקו, ההתמקדות של טוויטר בספירת משתמשים יומיים שניתן לייצר מהם הכנסות (מטריקה שמכונה mDAU) מאפשרת לה להתעלם מהמספר הרב של הבוטים והמשתמשים המזויפים בפלטפורמה. "ישנם מיליוני חשבונות פעילים שלא נחשבים mDAU או בגלל שהם בוטים שמפיצים ספאם, או בגלל שטוויטר לא מאמינה שאפשר לייצר מהם הכנסות", כתב זאטקו, "מיליוני החשבונות האלה, שאינם נספרים כ-mDAU, הם חלק מהחוויה של המשתמשים בפלטפורמה".
מאסק כמובן התנפל על התצהיר כמוצא שלל רב ועורך הדין שלו כבר הודיע שזימן את זאטקו להעיד במשפט שייפתח ב-17 באוקטובר. "כבר הוצאנו זימון למר זאטקו", אמר פרקליטו של מאסק, אלכס ספירו. "אנחנו חושבים שעזיבתו את החברה, כמו זו של עובדי מפתח נוספים, מסקרנת לאור הממצאים שלנו".
זאטקו, מצדו, טוען שאין שום קשר בין התצהיר שלו לבין הסכסוך המשפטי בין מאסק לטוויטר. לדבריו, הוא מעולם לא פגש את מאסק ולא העביר לו מידע. למעשה, הוא פנה לראשונה לארגון Whistleblower Aid, שמסייע לחושפי שחיתויות ומייצג אותו, כבר ב-17 במרץ - חודש לפני שמאסק הציע לראשונה לרכוש את טוויטר. ולמרות כל האמור לעיל, זאטקו מודה שהוא מעדיף שטוויטר תישאר חברה ציבורית על מנת שהרשות לניירות ערך בארה"ב תוכל להמשיך לפקח עליה.
ההאקר שהפך ליועץ של ביל קלינטון
זאטקו התפרסם לראשונה בשנות ה-90 בתור חבר בקבוצת ההאקרים L0pht, שחשפה חולשות אבטחה במערכות של תאגידים גדולים. כאשר מיקרוסופט התעלמה מדרישתה לתקן חולשת אבטחה בווינדוס, הפיצה הקבוצה כלי פשוט לתפעול שאיפשר לפרוץ לחשבונות אישיים של משתמשים, וכך אילצה את החברה לנקוט בפעולה. ב-1998 הוא הוזמן להעיד בפני הסנאט וטען כי הוא וחבריו יכולים להפיל את האינטרנט תוך חצי שעה.
באותה תקופה החל זאטקו לייעץ לממשל קלינטון בנושאי סייבר. בשנת 2010 הוא מונה לאחראי על אבטחת המידע ב-DARPA (הסוכנות הצבאית לפרויקטים מחקריים מתקדמים במשרד ההגנה) ומשם המשיך לגוגל ולחברת התשלומים הדיגיטליים סטרייפ. שם עבד כאשר קיבל בנובמבר 2020 את שיחת הטלפון מג'ק דורסי, מייסד ומנכ"ל טוויטר לשעבר, שביקש ממנו להצטרף לחברה.
זאטקו לא חוסך ביקורת מהאיש שהביא אותו לטוויטר. בתצהיר שהגיש הוא מתאר את דורסי, שעזב את הרשת החברתית בסוף 2021, כמנכ"ל נעדר ולא ממוקד שממעט להגיע לפגישות. לפי התצהיר, בחלק מהמקרים "גם לאחר שעודכן על סוגיות תאגידיות מורכבות - דורסי לא אמר מילה".
אבל היה זה יורשו של דורסי, פרג אגרוול, שהראה לזאטקו את הדרך החוצה. היחסים בין השניים הידרדרו במהירות לאחר שאגרוול קודם מתפקיד סמנכ"ל הטכנולוגיות למנכ"ל החברה. זאטקו טוען בתצהיר שהגיש כי חשש שאגרוול ינצל את ישיבת הדיקטוריון הראשונה שלו כמנכ"ל כדי להמעיט בחשיבותן של כמה סוגיות חשובות בתחום אבטחת המידע.
ב-15 בדצמבר 2021 הוא כתב לאגרוול כי בחומרים שהוכנו עבור מצגת שהיה אמור להציג בפני הדירקטוריון ישנן כמה הצהרות שאינן נכונות. אגרוול התעלם מפנייתו וב-4 בינואר כתב לו זאטקו כי ייתכן שהמסמכים האלה מהווים הונאה. "נשכרתי על מנת להשיג מטרות מסוימות ולתקן בעיות כאן בטוויטר", כתב זאטקו, "על מנת לעשות את זה, עלינו להכיר במצב האמיתי של הדברים בחברה".
אגרוול השיב לזאטקו כי כי החברה פתחה בחקירה פנימית על מנת לבדוק את טענותיו בנוגע ל"הונאה" וביקש ממנו דו"ח מפורט בנושא. פחות משבועיים לאחר מכן, לפני שזאטקו הספיק להגיש את הדו"ח, הוא פוטר מטוויטר. בחודש מרץ, כאמור, הוא פנה לארגון Whistleblower Aid, על מנת שייצג אותו. מדובר באותו ארגון שסייע גם למדליפה מפייסבוק פרנסס האוגן, שחשפה עשרות אלפי מסמכים של החברה לפני כשנה.
ג'ון טיי, מייסד ארגון Whistleblower Aid, מתעקש שזאטקו אינו עובד ממורמר לשעבר שמבקש לנקום. לדבריו, התצהיר שהגיש זאטקו דווקא עלול לפגוע בו מבחינה כלכלית: חצי מהתגמול שקיבל מטוויטר מבוסס על מניות, ואלה צנחו בכ-9% לאחר הפרסום הראשון על טענותיו נגד החברה. המוטיבציה של זאטקו, אומר טיי, היא שהחברה תצליח בטווח הארוך.
בחודש הבא: שימוע בסנאט
מטוויטר נמסר בתגובה לתצהיר כי "מר זאטקו פוטר מתפקידו הניהולי הבכיר בטוויטר בגלל ביצועים גרועים ומנהיגות לא יעילה לפני יותר משישה חודשים. על אף שלא הייתה לנו גישה לטענות הספציפיות שהוזכרו, מה שראינו עד כה הוא נרטיב הנוגע לפרקטיקות שלנו בתחום הפרטיות ואבטחת המידע שעמוס בחוסר עקביות ובאי-דיוקים ונעדר ממנו קונטקסט חשוב. נראה שההאשמות של זאטקו והתזמון האופורטוניסטי שלהן נועדו להשיג תשומת לב ולגרום נזק לטוויטר, ללקוחות ולבעלי המניות שלה. אבטחה ופרטיות נמצאות בסדר העדיפויות של החברה כבר זמן רב ויש עוד הרבה עבודה לפנינו".
בקונגרס מתייחסים לתצהיר של זאטקו ברצינות רבה וב-13 בספטמבר הוא צפוי להעיד בשימוע של ועדת המשפט בסנאט. יו"ר הוועדה, הסנאטור הדמוקרטי דיק דרבין, והרפובליקני הבכיר בה, הסנאטור צ'אק גראסלי, פרסמו הצהרה משותפת ואמרו כי אם טענותיו של זאטקו נכונות, "ייתכן שהן מצביעות על סיכוני אבטחה ופרטיות עבור משתמשי טוויטר ברחבי העולם". הם הבטיחו לחקור את הנושא לעומק במסגרת השימוע ו"לנקוט בצעדים נוספים ככל הנדרש על מנת לרדת לעומקן של ההאשמות המדאיגות".
