Бывший глава службы безопасности Twitter прошёл путь от хакера до осведомителя

Уволенный в январе глава службы безопасности Twitter Пейтер Затко (Peiter Zatko), известный также под ником Mudge, в течение трёх десятков лет помогал раскрывать риски в сфере кибербезопасности. Сейчас он стал осведомителем, направив в три крупных ведомства 84-страничный документ, в котором раскритиковал халатное отношение руководства Twitter к безопасности платформы.

От длинных волос Пейтер Затко избавился в 2001 году. Источник изображений: twitter.com/dotMudge

Доклад может повлиять на финансовые и юридические перспективы компании, а также на исход тяжбы с Илоном Маском (Elon Musk), который не хочет приобретать сомнительный актив за $44 млрд и обвиняет руководство соцсети в попытке ввести в заблуждение его и других акционеров. В 2020 году его нанял на работу тогдашний глава Twitter Джек Дорси (Jack Dorsey) — основателя сервиса он привлёк как эксперт, не изменяющий собственным моральным принципам и говорящий правду даже в ущерб собственным интересам. По словам самого Затко, он принял предложение после того, как платформу взломал подросток, получивший контроль над подтверждёнными аккаунтами компаний и знаменитых людей.

Теперь же эксперт утверждает, что лишился возможности работать в Twitter после ухода Дорси с поста гендиректора: он заявил членам правления компании, что конфиденциальные данные пользователей защищены не так надёжно, как гласит официальная версия, и новый глава платформы Параг Агравал (Parag Agrawal) его уволил. «Господин Затко был уволен из Twitter более шести месяцев назад за плохую работу и плохое руководство, и сейчас он, похоже, пытается нанести ущерб Twitter, его клиентам и акционерам», — озвучила официальную позицию компании её вице-президент Ребекка Хан (Rebecca Hahn). Гендиректор компании официальных комментариев не давал, но обратился к сотрудникам компании по электронной почте и также заявил, что Затко уволили за плохую работу. Представители эксперта утверждают, что у него нет цели наносить платформе какой-либо ущерб — напротив, он «поставил на карту свою карьеру, беспокоясь о пользователях Twitter, общественности и акционерах компании». Эксперт с готовностью раскрывает любую информацию, обличающую как вредоносную хакерскую деятельность, так и корпоративную безответственность применительно к вопросам безопасности.

Фото, сделанное при работе в DARPA

Сын профессора химии и специалиста по горной добыче, Затко вырос в Алабаме и Пенсильвании, а в 1988 году поступил в Музыкальный колледж Беркли (г. Бостон, шт. Массачусетс), уже тогда обладая навыками по взлому компьютерных игр и зачастую предпочитая проводить время не в студии, а в компьютерных лабораториях Массачусетского технологического института. Окончательно перебравшись в Бостон, он устроился на работу в компанию BBN Technologies, которая разрабатывала средства безопасности ещё на заре интернета. В 1996 году он присоединился к хакерскому сообществу L0pht, члены которого выявляли уязвимости в ПО. Тогда Microsoft предложила экспертам сначала уведомлять об уязвимостях разработчика, давать ему время на выпуск обновлений программ и только потом предавать инциденты широкой огласке. Хакеры согласились, тем самым установив модель согласованного раскрытия информации, которая актуальна и по сей день.

На базе сообщества L0pht была создана коммерческая фирма @stake, к которой за консультационными услугами обращались крупные банки и разработчики ПО, включая Microsoft. Тогда возникла идея использовать цифровые подписи для обозначения легитимных программ. Позже Затко присоединился к агентству DARPA — инновационному центру Пентагона, где создал программу ускоренной выдачи грантов, тем самым дав хакерам-одиночкам возможность помогать правительству. Вернувшись в корпоративный сектор, эксперт работал над спецпроектами Motorola Mobility и впоследствии поглотившей эту компанию Google. Далее он обеспечивал безопасность стартапа Stripe, специализирующегося на электронных платежах. К моменту его ухода у сотрудников Stripe были аппаратные ключи аутентификации для доступа к данным, а корпоративные ноутбуки проходили процедуру идентификации с разграничением привилегий.

Снимок опубликован в 2019 году

После инцидента со взломом в 2020 году Дорси переманил Затко в Twitter, где тот начал работу с тщательного изучения проблем внутренней безопасности компании. Уже через пару месяцев он столкнулся с первой серьёзной проблемой — 6 января 2021 года массовые беспорядки в Вашингтоне координировались через Twitter, а учётная запись тогдашнего президента Дональда Трампа (Donald Trump) подверглась блокировке. В этот момент Затко обратился к руководству компании, предложив подумать, как можно защитить платформу от потенциально возможных злонамеренных действий собственных сотрудников. Ему ответили, что это сделать невозможно, и при большом желании квалифицированный работник сможет довести дело до конца. В тот же день с ним связались из команды избранного президента страны Джо Байдена (Joe Biden) с предложением возглавить направление кибербезопасности на федеральном уровне. Затко подумал, но ответил отказом — он решил, что в Twitter принесёт больше пользы.

Однако в культуру Twitter он так и не вписался. Некоторые сотрудники компании отзывались о нем как о высокомерном человеке, который норовил выйти за рамки своей компетенции. В Twitter он продержался ещё год, но потом вступил в спор с Агравалом на предмет того, что следует знать совету директоров, и был уволен. Лишившись должности, он решил довести свою работу до конца, поэтому и обратился в органы государственной власти. В его докладе говорится о моментах, которые он считает опасными упущениями в компании, и решать эти проблемы он теперь предлагает при участии регулирующих органов. «Хочу закончить работу, ради которой Джек меня пригласил, а именно сделать это место лучше», — объяснил свои теперешние действия сам Затко.