Elon Musk hamletyzował w sprawie zakupu Twittera tak długo, że stanie za to przed sądem. Tymczasem ze spółki wyciekły dane, które pokazują, że miliarder mógł mieć rację, przekonując, iż serwis jest opanowany przez boty.
Proces rozpocznie się 17 października: zarząd Twittera pozwał Elona Muska za to, że ten wycofał się z planów przejęcia społecznościowej platformy. Na początku roku grał na to, by TT stał się - obok The Boring Company, Tesli i SpaceX - jego kolejnym klejnotem. 4 kwietnia ogłosił, że kupił większościowy pakiet akcji spółki. To jednak mu nie wystarczyło - odmówił wejścia do zarządu TT i postanowił dokonać wrogiego przejęcia. Złożył przy tym ofertę nie do odrzucenia - chciał kupić wszystkie akcje, co miało go kosztować ponad 40 mld dol. Szefowie medium społecznościowego początkowo się bronili, ale ostatecznie ofertę przyjęli i 25 kwietnia podpisano umowę.
Już w maju miliarder zaczął się wahać, argumentując, że władze Twittera nie podają prawdziwych danych o odsetku nieautentycznych kont. Ta informacja jest kluczowa dla wyceny serwisu, bo pozwala przewidzieć zyski: inną wartość ma internetowa agora, gdzie dyskutują prawdziwi użytkownicy, inną - miejsce, gdzie interakcje owszem są, ale między automatami. Ponieważ Muska nie zadowalały udzielane przez spółkę wyjaśnienia, zdecydował się na zerwanie umowy. Teraz w myśl porozumienia powinien zapłacić TT odszkodowanie - okrągły 1 mld dol.
Jednak pod koniec sierpnia do sieci wyciekły dokumenty, które mogą sprawić, że nie stanie się uboższy. Dane dostarczone przez sygnalistę wskazują, że zarząd serwisu nie ma żadnego interesu w tym, by ograniczać liczbę nieautentycznych kont. Przeciwnie - jest rozliczany ze wzrostu liczby użytkowników, a to, czy są oni robotami, nie ma żadnego znaczenia. A to tylko wierzchołek góry lodowej problemów, które ma ten serwis społecznościowy.
Legendarny haker
Głównym bohaterem najnowszego odcinka sagi o przejęciu Twittera jest Peiter Zatko - do stycznia tego roku szef bezpieczeństwa serwisu. Ściągnął go jeszcze poprzedni prezes Twittera Jack Dorsey. Zatko, znany jako „Mudge”, miał rozwiązać problemy, które serwis miał z bezpieczeństwem.
W lipcu 2020 r. TT stał się ofiarą poważnego ataku. Przestępcy dotarli do narzędzi dla administratorów i przejęli kontrolę nad najpopularniejszymi kontami - wysyłali z nich wiadomości, przy pomocy których wyłudzali bitcoiny. Jako Bill Gates, Elon Musk, Kanye West czy Barack Obama przekonywali, że za każdą jednostkę kryptowaluty, kosztującą wówczas nieco ponad 10 tys. dol., przelaną do swojego portfela, zwrócą zainteresowanemu dwie. Twitter przez ponad godzinę pozostawał bezradny wobec ataku. Wcześniej zainterweniowały nawet kryptowalutowe spółki, umieszczając numer portfela podawanego przez przestępców na czarnej liście. Jak się później okazało, zabezpieczenia serwisu pokonała grupa nastolatków, którzy udając zespół wsparcia IT, zadzwonili do kilku pracowników spółki, prosząc o hasła dostępu. Nie był to zresztą pierwszy raz, kiedy w serwisie przejmowano konta. Na przykład w 2013 r. hakerzy włamali się na profil agencji informacyjnej Associated Press i podali wiadomość o eksplozjach w Białym Domu oraz rannym prezydencie Obamie. To wystarczyło, by na nowojorskiej giełdzie wybuchła panika.
„Mudge” miał przeprowadzić audyt systemów bezpieczeństwa spółki - a trudno wyobrazić sobie lepszą osobę do tego zadania. W latach 90. działał w legendarnym kolektywie L0pht, który zrzeszał etycznych hakerów. Razem z kolegami tworzył narzędzia m.in. do wykrywania dziur w zabezpieczeniach systemów, założył razem z nimi firmę konsultingową @Stake (w 2004 r. przejął ją Symantec). Jako jeden z pierwszych hakerów zaczął współpracować z rządem, został zatrudniony przez Agencję Zaawansowanych Projektów Badawczych w Obszarze Obronności (DARPA) działającą w strukturach Departamentu Obrony (to ona w latach 60. zapoczątkowała rozwój internetu). Za zasługi dla bezpieczeństwa kraju został uhonorowany medalem przez sekretarza obrony, a nie było to jego ostatnie słowo. Korzystając z grantu DARPA, Zatko założył Cyber Independent Testing Lab, które miało opracować standardy w dziedzinie cyberbezpieczeństwa USA - to jeden z elementów Krajowego planu działań w dziedzinie cyberbezpieczeństwa, przygotowanego przez administrację Baracka Obamy. Później przeszedł do biznesu - pracował m.in. w Google.
Czy „Mudge” pomógł Twitterowi? Zdaniem przedstawicieli firmy - niespecjalnie. Po tym jak Dorsey odszedł z Twittera w listopadzie 2021 r., jedną z pierwszych decyzji nowego szefa Paraga Agrawala było pozbycie się Zatki. Według rzecznika serwisu „Mudge” był słabym liderem i miał kiepskie wyniki.
Sęk w tym, że dokładnie to samo były haker mógł powiedzieć o Twitterze. I zrobił to w raporcie przesłanym instytucjom rządowym i ustawodawczym.
Obce wywiady
Dokument wyciekł do mediów: 23 sierpnia opisały go CNN i „The Washington Post”. I był dla TT druzgocący. „Brak inwestycji w krytyczne obszary sprawia, że Twitter jest w nieustającym kryzysie” - można przeczytać w skrócie, który dla kongresmenów przygotowała reprezentująca „Mudge’a” organizacja Whistleblower Aid. Pomaga ona sygnalistom w ujawnianiu nieprawidłowości zgodnie z prawem.
Lista argumentów na poparcie tej tezy to kilkadziesiąt stron. Wśród nich np. ten, że ponad połowa pracowników spółki ma dostęp do danych użytkowników i środowiska produkcyjnego. Stwarza to ogromne pole do nadużyć - choćby takich jak to, kiedy jeden z pracowników na kilkanaście minut zablokował konto prezydenta Donalda Trumpa. Inny przykład: połowa z pół miliona firmowych serwerów ma nieaktualne oprogramowanie, co oznacza, że nie szyfrują danych i nie otrzymują aktualizacji bezpieczeństwa. W dodatku duża część pracowników ignoruje wewnętrzne zabezpieczenia, takie choćby jak firewall. Wszystko to stawia pod znakiem zapytania bezpieczeństwo użytkowników.
Ale niechlujstwo pracowników to dopiero początek, a niektóre wątki z raportu „Mudge’a” są bardzo niepokojące. Twitter ma być zinfiltrowany przez agentów obcych służb, a jego pracownicy na zlecenie obcych wywiadów mają instalować na serwerach oprogramowanie szpiegujące. W dodatku platforma ma flirtować z niedemokratycznymi reżimami. Według danych zebranych przez Zatkę serwis sprzedawał np. przestrzeń reklamową chińskim spółkom, choć w Państwie Środka nie można legalnie z niego korzystać. Być może reklamy działały jako przynęty - dzięki mikrotargetowaniu pomagały ustalić tożsamość osób omijających blokadę. Twitter miał też używać ciasteczek (cookies) do targetowania reklam. Federalna Komisja Handlu (FTC) w maju 2022 r. nałożyła za to na spółkę 150 mln dol. kary.
Według raportu „Mudge’a” problemów z bezpieczeństwem Twittera nie da się łatwo naprawić. Głównie dlatego, że szwankuje kultura organizacyjna spółki. Choć działa na całym świecie, jest zarządzana silosowo, a zespoły mają bardzo niską samodzielność. Niektórzy pracownicy skarżyli się, że aby dokończyć projekty, muszą polegać na nieformalnych znajomościach w firmie.
W raporcie hakera oberwało się też kierownictwu spółki. Dorsey miał być zupełnie niezainteresowany tym, co dzieje się w firmie, lecz na prawdziwy czarny charakter opowieści wyrasta obecny szef - Parag Agrawal. W połowie grudnia 2021 r. miał on poinstruować Zatkę, by przedstawił wprowadzające w błąd dokumenty związane z bezpieczeństwem przed komitetem ds. ryzyka rady dyrektorów Twittera. Zdaniem „Mudge’a” Agrawal bronił się w ten sposób przez utratą stanowiska, bo do znacznej części problemów sam doprowadził, gdy przez cztery lata był dyrektorem technicznym serwisu. Choć haker taki raport przedstawił, chwilę później został zwolniony.
I tu wracamy do głównego wątku. Według danych, które przedstawił „Mudge”, Agrawal kłamał w publicznych wypowiedziach dotyczących odsetka botów na Twitterze. Wyjaśnił też sposób, w jaki zwodził Elona Muska. Miliarder od miesięcy chce poznać odpowiedź na pytanie: czy wśród wszystkich użytkowników Twittera nieautentyczne konta stanowią mniej niż 5 proc.? Tymczasem Agrawal kluczył, używając kategorii „mDAU”, czyli „dziennych użytkowników, na których można zarobić”. Skomplikowane? mDAU to po prostu ci internauci, którzy zalogowali się lub uzyskali dostęp do aplikacji w dowolnym dniu, w którym wyświetlano reklamy. Według Twittera jest ich 237 mln, czyli około połowy wszystkich użytkowników Twittera. Pracownicy spółki utrzymują, że to w tej grupie jest mniej niż 5 proc. botów. Musk jednak pyta o całą populację. Do tej pory nie uzyskał wiarygodnych odpowiedzi. Dlaczego? Na to też odpowiada raport „Mudge’a”. Jego zdaniem menedżerowie nie mają motywacji, by walczyć z nieautentycznymi użytkownikami, bo jeśli prawdziwe dane by wypłynęły, mogłoby to źle wpłynąć na wycenę firmy.
Zatko opisywał, że wewnątrz spółki trwają naciski na to, by wyłączyć jeden ze skuteczniejszych mechanizmów zwalczania botów. Dzięki ROPO (Read-Only Phone-Only) można dość łatwo odsiać nieprawdziwych użytkowników. Kiedy algorytm znajdzie podejrzane konto, blokuje mu możliwość publikowania treści i wysyła na numer telefonu powiązany z kontem wiadomość. Jeśli właściciel konta wpisze w swoim profilu otrzymany kod, sytuacja wraca do normy. Jeśli nie - jest uznawany za bota. ROPO zablokował już 12 mln kont, myląc się w mniej niż 1 proc. przypadków.
Twitter nie odniósł się do zarzutów „Mudge’a” w żadnym oficjalnym oświadczeniu.
Wyzwanie dla świata
Peiter Zatko ma w przyszłym tygodniu zeznawać w Kongresie. Elon Musk chce też, by został on świadkiem w jego sprawie przeciwko zarządowi Twittera. Na razie miliarder na własną rękę policzył, ilu użytkowników to nieprawdziwe konta. Początkowo mówił o ok. 20 proc. Później jednak, wykorzystując narzędzie Botometer, podbił stawkę do 33 proc. I choć dane te zostały zakwestionowane przez twórców aplikacji, pojawiły się głosy, że wcale nie są one przesadzone.
Dan Woods, były agent CIA, dziś menedżer w zajmującej się cyberbezpieczeństwem firmie F5, szacuje, że nawet osiem z dziesięciu zarejestrowanych na TT kont może być nieautentycznych. Woods kieruje zespołem naukowców, którzy identyfikują boty i ich cele. Jego zdaniem ruch generowany przez boty na TT „z pewnością jest większy niż wyrażały (władze spółki - red.) publicznie, a nawet większy niż sądzą wewnętrznie”. Według Woodsa boty przejmą kontrolę nad każdym medium społecznościowym, które nie wdroży odpowiednich narzędzi do obrony przed nimi. A, jak wiemy z raportu „Mudge’a”, Twitter niespecjalnie chce to robić.
Woods przekonuje, że zrobił eksperyment i za 1000 dol. kupił przychylność 100 tys. followersów w serwisie. Kiedy umieszczał bezsensowne wiadomości i kazał swoim obserwującym podawać je dalej, dokładnie tak się działo. Zapewnia też, że - choć nie jest rasowym informatykiem - samodzielnie napisał skrypt do zakładania nowych kont, a Twitter go nie zablokował.
Ale z obserwacji Woodsa wynika, że nie tylko Twitter cierpi z powodu rozpanoszenia się botów. Jego zdaniem większa część używanych przez nas aplikacji generuje 80-90 proc. zautomatyzowanego ruchu, a walka z botami to główne wyzwanie dzisiejszego świata. - Nieograniczona aktywność botów prowadzi do masowych oszustw, rujnuje życie, sprzyja rozpowszechnianiu dezinformacji, wywołuje konflikty, a nawet wpływa na procesy polityczne. Umożliwienie jej kontynuowania bez kontroli doprowadzi do rozszerzenia wszystkich tych problemów i wpłynie na zdolność komunikowania się i powiązania ze sobą na całym świecie - ocenił Woods w rozmowie z SDxCentral.
Może więc Elon Musk w istocie nie jest królem dramatów, a - jak sam chce się postrzegać - prawdziwym rycerzem wolności słowa? ©℗