Twitter pålagt ti års sikkerhetsrevisjon

Straff for at hackere overtok «admin»-kontoer og krenket Obama og andre brukere.

USAs konkurransetilsyn FTC (Federal Trade Commission) har for første gang vedtatt straffetiltak mot en sosial nettjeneste. Twitter har erkjent at slapp IT-sikkerhet gjorde det mulig for hackere å få kontroll over kontoer til Twitters IT-administratorer, slik at de fikk innsyn i private ytringer, utstede falske tvitringer i brukeres navn, blant dem daværende nyvalgt president Barack Obama, og krenke Twitter-brukere på forskjellig vis.

I lys av dette mangelfulle personvernet på Twitter mener FTC at tjenestens personvernplakat framstår som misvisende og villedende. Der heter det: «Twitter er svært opptatt av å sørge for at din personlige informasjon forblir konfidensiell. Vi tar administrative, fysiske og elektroniske tiltak med tanke på å verne din informasjon mot innsyn fra uvedkommende.»

FTC viser til to graverende tilfeller.

I januar 2009 brukte en hacker et passordgjetteverktøy for å avdekke passordet til en av Twitters IT-administratorer. Etter flere tusen forsøk, fant verktøyet fram til det riktige passordet, et vanlig engelsk ord skrevet med bare små bokstaver.

FTC forteller at hackeren brukte sine adminrettigheter til å gjøre om på passordene på flere brukerkontoer. Noen av disse passordene ble lagt ut på nettet, til allmenn benyttelse. Følgelig kunne flere uvedkommende personer sende falske meldinger fra «rundt ni brukerkontoer».

Fra Twitter-kontoen til USAs nyvalgte president Barack Obama ble det sendt ut en melding om at kontoens 150 000 venner kunne delta i en konkurranse om å vinne 500 dollar i gratis bensin.

I april 2009 brøt en hacker seg inn på den personlige e-postkontoen til en Twitter-ansatt. I denne kontoen ble to passord lagret i klartekst. Hackeren greide å bruke disse passordene til å gjette seg til den ansattes adminkonto. Det ga vedkommende tilgang til all ikke-offentlig informasjon om alle Twitter-brukere. Også her opplevde minst én bruker å bli stengt ute fra sin Twitter-konto fordi passordet plutselig var endret.

FTC mener Twitter er skyld i å ha gjort seg sårbar, og peker på følgende forhold:

  • Ansatte var ikke pålagt å bruke egne og sterke passord når de skulle opptre som IT-administratorer.
  • Ansatte var ikke pålagt å avstå fra å lagre passord i klartekst i sine personlige e-postkontoer.
  • Twitter hadde ikke rutiner for å avvise alle videre forsøk etter et antall mislykkede pålogginger
  • Twitter hadde ingen egen påloggingsside for IT-administratorer: Disse anvendte samme påloggingsside som vanlige brukere.
  • IT-administratorer var ikke pålagt å bytte passord regelemessig.
  • Tilgang til administrative rettigheter ble ikke begrenset til dem som hadde bruk for det i kraft av sin stilling.
  • Det var ingen andre fornuftige begrensninger i tilgang med administrative rettigheter, for eksempel i forhold til bestemte IP-adresser.

Twitter godtar begge pålegg gitt av myndighetene.

Det ene er at de over en periode på 20 år ikke har anledning til å villede brukere om i hvilken utstrekning de verner privat informasjon mot innsyn fra uvedkommende. De kan ikke lenger ljuge om i hvilken utstrekning de følger opp brukernes personverninnstillinger.

Det andre straffetiltaket er at Twitter må opprette og følge et «omfattende program for informasjonssikkerhet», som skal gjennomgås og vurderes av en uavhengig revisor annet hvert år i ti år.

FTC har lagt ut et eget skjema der personer og organisasjoner kan kommentere tiltakene mot Twitter. Skjemaet er også åpent for andre lands borgere.

Tilsynet understreker at den juridiske rammen for denne typen forlik innebærer at FTC har skjellig grunn til å tro at et lovbrudd kan ha skjedd, men at Twitter ikke erkjenner å ha brutt lovverket på noe punkt.

I en kommentar til forliket sier Twitters advokat Alexander Macgillivray at sikkerhetsbruddene rammet forholdsvis få brukere, og at de skjedde på en tid da selskapet hadde 50 ansatte og slet med eksplosiv vekst.

Macgillivray sier at Twitter siden har arbeidet med å bedre IT-sikkerheten og at det ikke er registrert flere klager på personvern eller sikkerhetsbrudd.

    Les også:

Til toppen