Văn Thiện
Vào tháng 7/2022, cựu giám đốc bảo mật của Twitter, Peiter “Mudge” Zatko, đã đệ đơn khiếu nại lên Ủy ban Chứng khoán và Giao dịch (SEC) Hoa Kỳ cáo buộc công ty nền tảng tiểu blog về những lỗi bảo mật nghiêm trọng. Những lời buộc tội này càng làm khuếch đại vụ lùm xùm mua lại giữa Elon Musk và Twitter.
Zatko đã hoạt động trong nhiều thập kỷ với tư cách là một hacker có đạo đức, nhà nghiên cứu tư nhân, cố vấn chính phủ và nhà điều hành tại một số công ty Internet nổi tiếng và văn phòng chính phủ. Ông thực tế là một huyền thoại trong ngành an ninh mạng. Với danh tiếng đó, khi Zatko nói, những người khác và chính phủ thường sẽ lắng nghe – điều này càng nhấn mạnh mức độ nghiêm trọng của lời phàn nàn của ông đối với Twitter.
Từng là sinh viên ngành an ninh mạng và hiện là một nhà nghiên cứu an ninh mạng, tôi tin rằng trọng tâm của những cáo buộc của Zatko xoay quanh việc Twitter không có một kế hoạch an ninh mạng đáng tin cậy để bảo vệ dữ liệu người dùng, triển khai các hoạt động kiểm soát nội bộ nhằm phòng chống các mối đe dọa từ bên trong và đảm bảo hệ thống của công ty luôn hoạt động và được cập nhật đúng cách.
Zatko cũng cáo buộc rằng các giám đốc điều hành Twitter đã tiết lộ rất ít về các sự cố an ninh mạng của nền tảng này trong các thông báo cho cả cơ quan quản lý và ban giám đốc của công ty. Ông tuyên bố rằng Twitter ưu tiên tăng trưởng người dùng hơn là giảm tin nhắn rác và các nội dung không mong muốn khác làm nhiễm độc nền tảng và làm giảm trải nghiệm người dùng. Khiếu nại của ông cũng bày tỏ lo ngại về phương thức kinh doanh của công ty.
Các lỗi bảo mật trong cáo buộc
Những cáo buộc của Zatko vẽ nên một bức tranh đáng lo ngại không chỉ về tình trạng an ninh mạng của Twitter với tư cách là một nền tảng truyền thông xã hội, mà còn cả ý thức bảo mật của Twitter với tư cách là một công ty. Cả hai điểm này đều đáng chú ý nếu xét đến vị trí của Twitter trong truyền thông toàn cầu và cuộc đấu tranh chống lại chủ nghĩa cực đoan và thông tin sai lệch trực tuyến đang diễn ra.
Có lẽ điểm quan trọng nhất trong các cáo buộc của Zatko là việc ông tuyên bố rằng gần một nửa số nhân viên của Twitter có quyền truy cập trực tiếp vào dữ liệu người dùng và mã nguồn của nền tảng này. Các phương pháp an ninh mạng đã được kiểm chứng theo thời gian không cho phép quá nhiều người có “đặc quyền” truy cập hay quyền truy cập “gốc” vào các hệ thống và dữ liệu nhạy cảm. Nếu đúng, điều này có nghĩa là Twitter có thể đã đủ chín muồi để bị khai thác từ bên trong hoặc từ đối thủ bên ngoài được hỗ trợ bởi những nhân viên trong công ty mà chưa được kiểm soát kỹ lưỡng.
Ngoài ra, Zatko cũng cáo buộc rằng các trung tâm dữ liệu của Twitter có thể không an toàn, linh hoạt hoặc đáng tin cậy như công ty này tuyên bố. Ông ước tính rằng gần một nửa trong số 500.000 máy chủ của Twitter trên khắp thế giới thiếu các biện pháp kiểm soát bảo mật cơ bản như chạy phần mềm cập nhật và nhận được hỗ trợ từ nhà cung cấp trong việc mã hóa dữ liệu người dùng lưu trữ trên đó. Ông cũng lưu ý rằng việc công ty thiếu một kế hoạch kinh doanh liên tục vững chắc có nghĩa là nếu một số trung tâm dữ liệu của họ bị lỗi do sự cố mạng hoặc thảm họa khác, nó có thể dẫn đến “sự kiện kết thúc sự tồn tại của công ty”.
Đây chỉ là một số tuyên bố được đưa ra trong đơn khiếu nại của Zatko. Nếu những cáo buộc đó là đúng, thì Twitter đã thất bại trong việc đáp ứng các yêu cầu an ninh mạng cơ bản.
Lo ngại về sự can thiệp của chính phủ nước ngoài
Các cáo buộc của Zatko cũng có thể gây lo ngại về an ninh quốc gia đối với Hoa Kỳ. Những năm gần đây, Twitter đã được sử dụng để phát tán thông tin và tuyên truyền sai lệch trong các sự kiện toàn cầu như đại dịch và bầu cử quốc gia.
Một ví dụ trong báo cáo của Zatko là Ấn Độ, chính phủ nước này đã buộc Twitter phải thuê các đặc vụ chính phủ và những người này sẽ có quyền truy cập vào lượng lớn dữ liệu nhạy cảm của Twitter. Kết quả là, nước láng giềng thù địch của Ấn Độ là Pakistan, đã cáo buộc Ấn Độ đang cố gắng xâm nhập vào hệ thống an ninh của Twitter “trong một nỗ lực nhằm hạn chế các quyền tự do cơ bản”.
Do đó, các quốc gia khác như Nga và Trung Quốc cũng có thể yêu cầu Twitter, với vị trí là một nền tảng truyền thông toàn cầu, thuê các đặc vụ chính phủ của riêng họ như một điều kiện để công ty được phép hoạt động tại các quốc gia này. Các cáo buộc của Zatko về an ninh nội bộ của Twitter làm tăng khả năng những tên tội phạm, các nhà hoạt động, các chính phủ thù địch hoặc những kẻ ủng hộ họ tìm cách khai thác hệ thống và dữ liệu người dùng của nền tảng truyền thông xã hội này thông qua việc tuyển dụng hoặc tống tiền nhân viên của công ty. Điều này có thể gây ra mối lo ngại về an ninh quốc gia cho Hoa Kỳ.
Tệ hơn nữa, thông tin riêng của Twitter về người dùng, sở thích của họ và những người họ theo dõi và tương tác trên nền tảng có thể tạo điều kiện cho việc nhắm mục tiêu trong các chiến dịch thông tin sai lệch, tống tiền hoặc các mục đích bất chính khác. Việc nhắm mục tiêu như vậy đối với các công ty nổi tiếng và nhân viên của họ đã là mối lo ngại lớn về phản gián trong cộng đồng an ninh quốc gia trong nhiều thập kỷ.
Hệ quả khác của các cáo buộc
Dù kết quả của đơn khiếu nại của Zatko tại Quốc hội, SEC hoặc các cơ quan liên bang khác như thế nào, thì đó cũng sẽ là trở thành một phần trong hồ sơ pháp lý mới nhất của Musk khi vị tỷ phú cố gắng rút lui khỏi quá trình đàm phán mua lại mua Twitter của ông.
Trước những cáo buộc này, cách tốt nhất là Twitter nên thực thi hành động khắc phục để cải thiện việc hoạt động và hệ thống an ninh mạng của công ty. Bước đầu tiên cần thiết nhất mà công ty có thể thực hiện là xem xét và giới hạn những người có quyền truy cập “gốc” vào hệ thống, mã nguồn và dữ liệu người dùng ở số lượng tối thiểu cần thiết. Công ty cũng nên đảm bảo rằng hệ thống vận hành luôn được cập nhật và chuẩn bị hiệu quả để đối phó với bất kỳ loại tình huống khẩn cấp nào mà không làm gián đoạn đáng kể các hoạt động toàn cầu.
Từ một góc nhìn rộng hơn, những phàn nàn của Zatko nhấn mạnh vai trò quan trọng và đôi khi khó chịu của an ninh mạng trong các tổ chức hiện đại. Các chuyên gia an ninh mạng như Zatko hiểu rằng không có công ty hoặc cơ quan chính phủ nào thích công khai về các vấn đề an ninh mạng. Họ có xu hướng suy nghĩ rất lâu và khó khăn về việc có nên và làm thế nào để đưa ra những lo ngại về an ninh mạng như thế này – và các hậu quả tiềm năng có thể là gì. Trong trường hợp này, Zatko nói rằng những tiết lộ của ông phản ánh “công việc anh ấy từng được thuê để làm” với tư cách là người đứng đầu bộ phận an ninh cho một nền tảng truyền thông xã hội mà ông cho rằng nó “rất quan trọng đối với nền dân chủ”.
Đối với các công ty như Twitter, tin tức xấu về an ninh mạng thường dẫn đến cơn ác mộng quan hệ công chúng có thể ảnh hưởng đến giá cổ phiếu và vị thế của họ trên thị trường, chưa kể đến việc thu hút sự quan tâm của các nhà quản lý và các nhà lập pháp. Đối với các chính phủ, những tiết lộ như vậy có thể dẫn đến sự thiếu tin tưởng vào các thể chế được tạo ra để phục vụ xã hội, ngoài ra còn có khả năng tạo ra nhiễu loạn chính trị gây mất tập trung.
Thật không may, các vấn đề an ninh mạng được phát hiện, tiết lộ và xử lý như thế nào vẫn là một quá trình khó khăn và đôi khi gây tranh cãi, không có giải pháp dễ dàng cho cả các chuyên gia an ninh mạng và các tổ chức ngày nay.
Bài viết này của nhà nghiên cứu an ninh mạng Richard Forno và được đăng lần đầu tiên trên The Conversation.
Văn Thiện