Logo van Twitter op de gevel van het hoofdkantoor in San Francisco

Twitter stelt bekende ethische hacker aan als hoofd beveiliging

Laatst bijgewerkt: 18 november 2020
Leestijd: 3 minuten, 13 seconden

Twitter heeft een nieuwe head of security aangesteld. Het is niemand minder dan Peiter Zatko, een ethische hacker die de alias Mudge gebruikt. Hij rapporteert rechtstreeks aan CEO Jack Dorsey. De directeur heeft Zatko een breed mandaat gegeven om wijzigingen aan te brengen in het informatiebeveiligingsbeleid en de veiligheidsprotocollen. Zijn positie wordt definitief na een proefperiode van 45 tot 60 dagen.

Dat schrijft Reuters, dat een exclusief interview had met Zatko.

De loopbaan van Peiter Zatko in een notendop

Peiter Zatko alias Mudge begon zijn carrière in de jaren negentig. Hij werkte toen voor een overheidsdienst met vertrouwelijke informatie. Tegelijkertijd was hij één van de leiders van Cult of the Dead Cow, een hackerscollectief dat hackingtools ontwikkelde om Microsoft ertoe aan te zetten om meer en betere veiligheidsmaatregelen te nemen.

Halverwege de jaren negentig schreef hij als een van de eersten een paper over kwetsbaarheden die we kennen als buffer overflow. In 1997 bracht hij het programma L0phtCrack uit, vernoemd naar de hackersgroep L0pht waar hij in die periode een prominent lid van was. Met deze software is het mogelijk om wachtwoorden te testen, kraken en herstellen. Vandaag de dag bestaat het programma nog steeds, al is het in de afgelopen jaren menigmaal van eigenaar gewisseld.

De afgelopen jaren werkte Zatko voor uiteenlopende bedrijven en instellingen. Toen hij bij het Pentagon werkzaam was bij de afdeling Defense Advanced Research and Projects Agency (DARPA), verstrekte hij subsidies aan organisaties die veelbelovende projecten op het gebied van cybersecurity hadden bedacht. Daarna ging hij aan de slag bij Google, gevolgd door de elektronische betaaldienst Stripe.

Dit is het takenpakket van Zatko bij Twitter

Het nieuwe hoofd van de beveiligingsafdeling van Twitter zegt tegenover het Amerikaanse persbureau Reuters dat hij zich primair gaat richten op “informatiebeveiliging, fysieke beveiliging, integriteit van het platform, integriteit van de omgeving en engineering”. Ook stelt hij een onderzoek in naar misbruik en manipulatie van Twitter en de verdere ontwikkeling van de microblogdienst.

Zatko is aangesteld door niemand minder dan Jack Dorsey, de CEO van Twitter. De nieuwe head of security heeft een direct lijntje met de topman: Zatko moet al zijn bevindingen rechtstreeks aan Dorsey melden, zonder tussenpersonen of managementlagen. Voordat Zatko een vast dienstverband krijgt, heeft hij een proefperiode van 45 tot 60 dagen.

Dan Kaufman, een oud-collega van Zatko toen hij bij DARPA werkte op het Pentagon, heeft alle vertrouwen in hem “Ik weet niet of iemand in staat is om de beveiliging bij Twitter te fiksen, maar hij [Zatko] staat bovenaan mijn lijstje”, zo zegt Kaufman tegenover Reuters.

Twitter slachtoffer van grootschalige spear phishing-aanval

Dat Twitter een zwaargewicht inschakelt om iets aan de beveiliging van het platform te doen, komt niet als een verrassing. Afgelopen juli was de microblogdienst het slachtoffer geworden van een grootschalige hack. Cybercriminelen slaagden erin om de Twitter-accounts van prominente bedrijven en figuren als Apple, Uber, Elon Musk, Bill Gates, Barack Obama, Joe Biden, Jeff Bezos, Kanye West en Kim Kardashian over te nemen.

Via hun Twitter account vroegen ze hun volgers om bitcoins over te maken naar een adres, zogenaamd om “iets terug te doen voor de samenleving”. Het bedrag dat op deze rekening binnenkwam zou bovendien worden verdubbeld. In korte tijd werd er op deze manier omgerekend 100.000 euro overgemaakt naar de rekening. Na ontvangst werd het bedrag direct weggesluisd. Het was de eerste keer in het bestaan van Twitter dat er een bitcoin-scam van deze omvang plaatsvond op het platform.

Nader onderzoek wees uit dat de daders gebruik hadden gemaakt van een gerichte telefonische phishing-aanval (spear phishing) om inloggegevens te ontfutselen. Met deze gegevens kregen ze toegang tot support tools die normaliter alleen bestemd zijn voor medewerkers van het bedrijf. Via deze tools konden de hackers meer informatie opdoen over de interne processen van Twitter, en konden ze, door middel van deze informatie en de bemachtigde inloggegevens, toegang krijgen tot de account management tools.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen