cross-posted from: https://szmer.info/post/145418

Po przeczytaniu upublicznionych dokumentów trudno nawet krótko podsumować wszystkie kwestie tam wymienione.

[W] pierwszym odruchu chcemy machnąć ręką i stwierdzić: „przecież wszyscy tak robią”. Co nam to mówi o stanie przemysłu IT?

Bezpieczeństwo informacji najwyraźniej nie jest wystarczającym priorytetem w ogromnych firmach technologicznych. Dopóki wszyscy traktujemy to jako normę i wzruszamy ramionami, nic się nie zmieni.

A chyba powinno. Jeśli globalna platforma społecznościowa dopuszcza się tak kardynalnych zaniedbań, to jak wygląda sytuacja u podmiotów zbierających o nas intymne dane za pomocą podłączonych do internetu kamer, zamków do drzwi, dziecięcych lalek, czy… sex-zabawek?

Kilka “kwiatków” z dokumentów od Mudge’a (sporo z nich było już w tekście Zaufanej Trzeciej Strony jakiś czas temu):

„z ponad 500 000 serwerów w serwerowniach Twittera, ~60% z nich ma nieaktualne systemy operacyjnie. (…) Wiele z tych nieaktualnych systemów operacyjnych nie jest już wspierana przez ich wydawcę.”

wyłączenie nawet niewielkiej liczby serwerowni Twittera jednocześnie może spowodować globalną awarię, której naprawienie mogłoby zająć całe miesiące. Inżynierowie Twittera nie są też do końca pewni, czy byliby w stanie w ogóle ponownie uruchomić serwery.

„Twitter nie posiada środowisk testowych” (…) zmiany wprowadzane są więc bezpośrednio na serwerach produkcyjnych, z dostępem do prawdziwych danych.

„każdy inżynier pracujący w Twitterze, mieszkający w dowolnym kraju, ma obecnie bezpośredni dostęp do systemów produkcyjnych”. Zgodnie z informacjami zawartymi w upublicznionych dokumentach, to obecnie około pięciu tysięcy ludzi.

Około 30% laptopów używanych w firmie nie ma włączonych automatycznych aktualizacji bezpieczeństwa.

Dramatycznie brakować ma członkiń i członków zespołu władających innymi językami: „Jedna z pytanych osób powiedziała, że mocno polegają na Google Translate”. Zwłaszcza członkiń: „zespoły SI nie są wystarczająco różnorodne, zwłaszcza pod względem płci”; brakuje również osób o zróżnicowanym doświadczeniu, oraz możliwości zrozumienia lokalnego kontekstu w stopniu wystarczającym do oceny publikowanych na platformie treści.

„Kierownictwo Twittera wiedziało, że przyjęcie chińskich pieniędzy oznaczało ryzyko stworzenia zagrożenia dla użytkowników w Chinach (…) Kierownictwo firmy rozumiało, że oznaczało to poważny dylemat etyczny. Pan Zatko został poinformowany, że na tym etapie Twitter zbyt mocno polegał na tym źródle przychodów by móc zrobić cokolwiek innego, niż próbować go zwiększyć.”