Peiter Zatko, também conhecido pelo pseudónimo "Mudge", apareceu na CNN há 20 anos e chamou a atenção para os problemas de segurança da Internet. Nessa altura, já falava da forma como as grandes empresas ignoravam sistematicamente estas vulnerabilidades de segurança porque lhes era mais conveniente. Foi um hacker muito conhecido no seu tempo e, até há pouco tempo, era o chefe de segurança do Twitter. A sua confiança é ainda maior como denunciante porque conhece o seu trabalho.
Numa entrevista recente à CNN, fala sobre as vulnerabilidades de segurança do Twitter. A sua "revelação" pormenorizada de 6 de julho de 2022, cujos detalhes só são conhecidos pelas autoridades de investigação, fala, entre outras coisas, do facto de cerca de metade dos 10 mil funcionários do Twitter terem acesso a informações sensíveis, como as contas de utilizadores e os mecanismos de controlo do gigante dos meios de comunicação social. Mudge compara este acesso crítico de vários milhares de funcionários ao acesso dos passageiros ao cockpit de um avião. Além disso, o Twitter não tem uma visão geral dos numerosos bots e não eliminou os dados dos utilizadores em conformidade com a lei.
Mudge está a ser aconselhado por John Tye, fundador da Whistleblower Aid. O mesmo que representou Francis Haugen, o denunciante do Facebook. John Tye foi ele próprio um denunciante que descobriu actividades ilegais da NSA durante a administração Obama.
Sob o nome "Mudge", Peiter Zatko gere a sua conta no Twitter, que criou em 2011. Atualmente, tem 65 mil seguidores.
Muitas pessoas podem perguntar-se porque é que Mudge tornou pública esta informação precisamente na altura da próxima transação do Twitter com Musk. Para compreender isto, tem de olhar para a história. O Twitter tem tido enormes problemas com fugas de dados e pirataria informática. Entre outros, dois piratas informáticos adolescentes obtiveram acesso às contas de utilizadores do Twitter, incluindo utilizadores importantes como Joe Biden, com vários milhões de seguidores. Imagine só. Se dois adolescentes conseguiram aceder a contas, o que poderiam fazer os piratas informáticos de Putin, por exemplo.
Em 2020, o grupo Twitter contratou Mudge como um dos cinco principais executivos do grupo. As fugas de segurança de dados deveriam ter terminado. Dois anos depois, é despedido por alegado mau desempenho. O seu advogado, John Tye, afirma que Mudge fez a denúncia antes de o acordo entre o Twitter e Musk se tornar público.
Alex Spiro, o advogado de Musk, afirma que achou estranho o despedimento de Mudge e de outros funcionários importantes do Twitter à luz do que ele e a sua equipa descobriram e, por isso, chamou Zatko como testemunha.
O próprio Mudge afirma ter sido despedido em janeiro de 2022, depois de ter feito uma denúncia interna sobre as questões acima referidas. Curiosamente, o cofundador e CEO do Twitter, Jack Dorsey, também se separou da empresa em janeiro de 2022.
Numa entrevista à CNN, em agosto, Mudge disse que a sua motivação é fazer do mundo um lugar melhor e mais seguro.
Mudge é um herói que luta pela segurança e privacidade das pessoas ou está a travar uma guerra pessoal contra o gigante das redes sociais? Porque é que um hacker que luta contra a insegurança cibernética há décadas aceitou um cargo bem remunerado numa empresa como o Twitter? Como chefe de segurança, poderia esperar poder chegar à medula da empresa, pelo menos em termos de segurança. Uma infiltração perfeita ou o trabalho de um filantropo altruísta?
Estamos atentos!
Enquanto denunciante, está protegido por várias leis nos EUA, como a Lei Sarbanes-Oxley, a Lei Dodd-Frank e a Lei de Proteção dos Trabalhadores Conscientes de Nova Jérsia. À semelhança da Diretiva da UE relativa à denúncia de irregularidades, o denunciante só está protegido se forem cumpridos determinados requisitos. Na sequência da revelação de violações legais e da retaliação relacionada por parte da entidade patronal, o denunciante pode intentar uma ação judicial num tribunal distrital competente dos EUA ao abrigo das leis acima referidas. O advogado do Mudge confirmou às autoridades competentes na "Divulgação" de 6 de julho de 2022 que os documentos divulgados pelo Sr. Zatko foram cuidadosamente limitados aos que eram relevantes e "suficientemente necessários" para provar as violações da lei por parte do Twitter. Além disso, a Whistleblower Aid efectuou extensas redacções antes de divulgar informações internas do Twitter às autoridades policiais, e analisou e filtrou os documentos de acordo com o critério do privilégio legal. Também não foram enviados todos os documentos.
Um denunciante na Alemanha teria de fazer algo semelhante e procurar aconselhamento junto de uma organização como a Whistleblower Aid para fazer tudo corretamente. No entanto, a Lei de Proteção dos Denunciantes não prevê a proteção de entidades legais, como organizações sem fins lucrativos, enquanto apoiantes dos denunciantes. Não só nós, mas também várias organizações de renome, como a Transparency International, criticaram esta deficiência da nova lei.
As redes sociais tornaram-se extremamente importantes no mundo digital. Quer as empresas queiram ganhar alcance B2B ou B2C, quer os políticos estejam a cortejar mais eleitores ou a incitar uma revolta, tudo acontece online nas redes sociais. Já escrevemos várias vezes sobre este assunto nos nossos blogues. As plataformas cresceram muito rapidamente. No entanto, as estruturas de controlo e as medidas de segurança não cresceram proporcionalmente. As lacunas são muitas vezes utilizadas, por exemplo, para difundir informações com contas falsas e para ganhar alcance para determinados utilizadores. Algumas das contas falsas não são criadas manualmente, mas geradas com a ajuda de métodos apoiados por IA. Por exemplo, são utilizadas fotografias e dados de perfil gerados por IA para tornar o perfil tão genuíno e apelativo quanto possível. Para as próprias plataformas, o número de contas de utilizadores é relevante. Quanto menos se souber sobre as contas falsas, melhor.
Entretanto, outras plataformas de redes sociais, como o LinkedIn, também adoptaram medidas de segurança adicionais contra contas falsas. Por exemplo, até pedem cópias do BI quando uma conta é criada, ou as contas são bloqueadas mesmo que haja a mais pequena inconsistência. De acordo com a nossa experiência, o algoritmo do LinkedIn está particularmente atento a pesquisas de bandeira vermelha para determinadas origens e nacionalidades. É mais do que questionável o que o LinkedIn faz com os dados pessoais de mais de 800 milhões de membros e se os dados são realmente eliminados, como afirmado.
Leia sobre como pode detetar fraudes e outros riscos precocemente e proteger os seus funcionários com o sistema mais seguro, a Smart Integrity Platform.
A DISS-CO® é uma empresa inovadora de tecnologia jurídica com um forte enfoque em eGRC e RegTech. Criada por investigadores com experiência na deteção de fraudes e outras violações em vários sectores.
Biscoito | Duração | Descrição |
---|---|---|
cookielawinfo-checkbox-analytics | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Analytics". |
cookielawinfo-checkbox-functional | 11 meses | O cookie é definido pelo consentimento do cookie GDPR para registar o consentimento do utilizador para os cookies na categoria "Funcional". |
cookielawinfo-checkbox-necessary | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. Os cookies são utilizados para armazenar o consentimento do utilizador para os cookies na categoria "Necessário". |
cookielawinfo-checkbox-others | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Outros". |
cookielawinfo-checkbox-performance | 11 meses | Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é utilizado para armazenar o consentimento do utilizador para os cookies na categoria "Desempenho". |
política_de_cookies_visualizados | 11 meses | O cookie é definido pelo plug-in GDPR Cookie Consent e é utilizado para armazenar se o utilizador consentiu ou não na utilização de cookies. Não armazena quaisquer dados pessoais. |