Trùm hacker phơi bày ‘quả bom bảo mật’ của Twitter.
Khi gia nhập Twitter cuối năm 2020, Peiter Zatko, chuyên gia bảo mật kiêm hacker nổi tiếng, đã rất ngạc nhiên trước những gì ông phát hiện ra.
Zatko, 51 tuổi, tham gia với tư cách là Giám đốc bảo mật theo mời của người sáng lập kiêm CEO Twitter lúc đó là Jack Dorsey. Ông nhận thấy Twitter, nền tảng có hàng trăm triệu người dùng, “lại đi sau hơn một thập kỷ so với các tiêu chuẩn bảo mật của ngành”.
Zatko, có biệt danh Mudge, đứng trước màn hình hiển thị tài khoản Twitter của mình vào tháng 11/2020.
Theo hồ sơ tòa án Bloomberg có được, từ những ngày đầu 2021, Zatko đã thúc giục các giám đốc hàng đầu của Twitter phải xử lý thứ mà ông mô tả là “quả bom lỗ hổng bảo mật”. Ông cũng cung cấp bản tính toán đầy đủ về những thiếu sót an ninh trên nền tảng cho hội đồng quản trị.
Trước khi đầu quân cho Twitter cách đây hai năm, Zatko là chuyên gia giám sát an ninh tại công ty thanh toán điện tử Stripe. Ông cũng có thời gian làm việc với Google, cũng như là chuyên gia an ninh mạng tại Cơ quan Nghiên cứu và Dự án Quốc phòng Tiên tiến (DARPA) thuộc Lầu Năm Góc.
Từng là hacker nổi tiếng
Sự nghiệp của Zatko bắt đầu từ những năm 1990. Trong cuốn Cult of the Dead Cow của Joseph Menn nói về bối cảnh hack sơ khai của ngành công nghiệp an ninh mạng, Zatko là lãnh đạo L0pht ở Boston – nhóm hacker khét tiếng chuyên tung ra công cụ hack Windows. Hành động của nhóm gây ra nhiều phiền toái cho Microsoft, nhưng cũng thúc đẩy hãng tăng cường bảo mật cho hệ điều hành của mình.
Khi còn là một lập trình viên máy tính trẻ tuổi, Zatko có cơ hội tiếp xúc với các quan chức hàng đầu. Ông từng đứng trước Quốc hội Mỹ, nói “Internet không an toàn một cách kinh khủng”. Ông cũng nói với Thượng viện Mỹ rằng các công ty phần mềm và thương mại điện tử “muốn bỏ qua vấn đề bảo mật càng lâu càng tốt vì giúp chi phí rẻ hơn”.
Dug Song, Giám đốc chiến lược của Cisco Security, đánh giá: “L0pht đã tạo ra một mô hình hacker mới, thẳng thắn và có thể đáng được tôn vinh”. Còn Cris “Space Rogue” Thomas, một cựu thành viên L0pht, cho biết Zatko và L0pht đã luôn tìm cách làm mọi thứ có thể để khiến các công ty khắc phục vấn đề phần mềm mà nhóm đã tìm thấy.
Từ Giám đốc bảo mật Twitter…
Tháng 11/2020, Zatko đầu quân cho Twitter sau một vụ hack nổi tiếng trước đó gần một năm. Tháng 7/2020, mạng xã hội bị tấn công bởi một thiếu niên ở Florida, khiến hàng loạt tài khoản nổi tiếng bị xâm nhập, gồm cả tài khoản Tổng thống Mỹ Joe Biden và Elon Musk.
Khi đến Twitter, Zatko khẳng định “sẽ làm hết sức mình” để đảm bảo sự an toàn cho mạng xã hội. Thế nhưng, ông nhanh chóng nhận thấy sứ mệnh đó khó khăn hơn mình tưởng. Theo tài liệu mà ông cung cấp cho tòa án, hàng loạt vấn đề về cấu trúc và biện pháp khuyến khích đưa thông tin sai lệch đã cản trở nền tảng xử lý nhiều vấn đề lớn, bao gồm việc bảo vệ dữ liệu người dùng đúng cách, giải quyết sự thao túng của nước ngoài và đảm bảo tính bảo mật của cơ sở hạ tầng vật lý trong công ty.
Hồi tháng 1, CEO Twitter Parag Agrawal sa thải Zatko sau khi ông bắt đầu nêu lên những lo ngại về các hoạt động bảo mật và quyền riêng tư trên nền tảng. Sau đó, đại diện Twitter xác nhận lý do đuổi việc ông là vì “hiệu suất kém”.
Hai tháng trước, Zatko quay lại tố cáo công ty cũ. Trong trong đơn khiếu nại gửi các cơ quan quản lý liên bang hồi tháng 8, trong đó có Ủy ban Chứng khoán và Giao dịch Mỹ (SEC), Zatko nói công ty cũ thiếu trung thực về tỷ lệ tài khoản spam, bot tự động trong số 238 triệu người dùng hàng ngày. Ông cũng tố mạng xã hội đã không minh bạch trong các báo cáo với cổ đông.
“Đây không phải là lựa chọn đầu tiên của tôi”, ông nói. “Tôi đã dùng hết tất cả những lựa chọn nội bộ”.
Trong đơn gửi đến các cơ quan chính phủ Mỹ, Zatko cũng cáo buộc Twitter tin tưởng vào quá nhiều nhân viên, cho phép họ có quyền truy cập vào rất nhiều dữ liệu nhạy cảm của người dùng. Điều này tạo ra một thế trận bảo mật mong manh mà kẻ xấu có thể lợi dụng để phá hoại nền tảng.
Thậm chí, Zatko tiết lộ Twitter có nhiều hơn một nhân viên có thể đang làm việc cho cơ quan tình báo nước ngoài, có khả năng đe dọa dữ liệu người dùng và an ninh quốc gia Mỹ. Ông cũng nhắm vào CEO Agrawal, cho rằng người này đánh lừa ban giám đốc bằng cách ngăn cản Zatko sửa chữa các điểm yếu bảo mật trên nền tảng, cũng như việc Agrawal chỉ trích ông và bảo vệ bản thân trước các cáo buộc từ bên ngoài.
“Trước tác hại thực sự đối với người dùng và an ninh quốc gia, tôi xác định cần phải chấp nhận rủi ro nghề nghiệp và cá nhân đối với bản thân và gia đình khi trở thành người tố cáo”, Zatko, được giới hacker biết đến với biệt danh Mudge, nói trước Thượng viện Mỹ hồi tháng 9.
Kể từ khi công khai vấn đề bảo mật “thâm cung bí sử” của Twitter, Zatko nhận được sự chú ý nhiều hơn. Ông phải làm chứng trước Thượng viện Mỹ, cũng như trong tầm ngắm của nhiều cơ quan quản lý, cả Mỹ lẫn nước ngoài.
Tiết lộ của Zatko cũng trùng hợp với giai đoạn tranh chấp mua bán giữa Twitter và Elon Musk. Ban đầu, Zatko được xem là nhân tố quan trọng giúp Musk chấm dứt thỏa thuận thương vụ. Nhưng cuối cùng, tỷ phú Mỹ đã “quay xe”, còn Zatko cũng khẳng định không có bất kỳ mối quan hệ nào với Musk. Ông nói quyết định chỉ trích công ty cũ không liên quan đến thương vụ trên.
Twitter phủ nhận gần như toàn bộ các cáo buộc của Zatko. Đại diện mạng xã hội khẳng định bảo mật và quyền riêng tư “từ lâu là ưu tiên hàng đầu của toàn công ty”, nhận xét lời khai của cựu giám đốc bảo mật “có nhiều mâu thuẫn và không chính xác, vẽ ra một câu chuyện sai sự thật”.
Nhưng những người từng làm việc với Zatko tin lời ông. Theo một số cựu đồng nghiệp, Zatko trong gần 30 năm qua là người rất nguyên tắc, luôn cố gắng khắc phục sự cố một cách nghiêm túc và triệt để. “Ông ấy nói ra sự thật không phải để nhận về sự chú ý. Đó là những gì ông ấy thực sự muốn phải cải thiện trên hệ thống sau cái nhìn cận cảnh”, Dave Aitel, từng là nhà khoa học máy tính tại Cơ quan An ninh Quốc gia Mỹ và là đồng nghiệp của Zatko tại công ty tư vấn an ninh mạng ATstake, nhận xét.
John Tye, người sáng lập tổ chức phi lợi nhuận Whistleblower Aid và là luật sư của Zatko, nói thân chủ của mình công khai mọi thứ để giúp Twitter tốt hơn. “Gây sự chú ý hay muốn nhận phần thưởng không phải là yếu tố quyết định việc Zatko đang làm”, Tye nói.
Theo nguồn sưu tầm.