Desde abril que o Twitter parece estar a bordo de uma montanha-russa. Primeiro, recebeu uma oferta hostil de Elon Musk, que demonstrava interesse em comprar a rede social para a “transformar” e retirá-la de bolsa. Sucederam-se notícias sobre a “poison pill” do Twitter para tentar resistir à oferta de Musk, para mais tarde a empresa aceitar mudar de dono por 44 mil milhões de dólares. Nos primeiros tempos, apesar das preocupações dos empregados partilhadas com a imprensa, a imagem pública era de aparente calma, sucedendo-se as notícias de que a empresa até já estaria a arrumar a casa para receber o novo dono.

Até que Elon Musk decidiu pôr o pé no travão na aquisição. Primeiro, ia suspender a aquisição até que o Twitter cedesse documentos que o empresário sul-africano considerava relevantes sobre as contas falsas e o spam na rede social. Mais tarde, no início de julho, acabou por travar a fundo e dizer que já não estava interessado. Através do advogado, enviou uma carta ao Twitter na qual afirmava que a empresa “não obedeceu às suas obrigações contratuais” e que não forneceu informações relevantes sobre o negócio.

Elon Musk desiste da compra do Twitter. Rede social “não obedeceu às suas obrigações contratuais”

O Twitter decidiu avançar para a justiça para obrigar o dono da Tesla e da SpaceX a comprar a rede social. Se já não havia acordo entre as partes para concluir a compra, muito menos havia para decidir uma data ou duração para a batalha judicial. Enquanto o Twitter queria um julgamento o mais rápido possível, logo em setembro, Elon Musk queria deixar o tema para o próximo ano, atirando para fevereiro. O Twitter queria um desfecho rápido, em quatro dias; Musk preferia um confronto nos tribunais ao longo de duas semanas.

Kathaleen McCormick, a juíza responsável pelo julgamento no tribunal do Delaware, preferiu uma opção mais próxima da moção defendida pelo Twitter, marcando o julgamento para outubro, com uma duração prevista de cinco dias.

Julgamento Twitter versus Musk marcado para outubro

Ao longo das últimas semanas têm sido notícia as diligências de cada uma das partes. O Twitter tem mantido alguma discrição nos seus planos, sendo mais visíveis as movimentações de Elon Musk, que até fez uma intimação a Jack Dorsey, co-fundador da rede social e antigo CEO, para que ceda documentos sobre as contas falsas. E numa recente decisão de Kathaleen McCormick ficou determinado que o Twitter vai ter mesmo de fornecer dados sobre as contas falsas na rede. Além de Dorsey, também foram intimados Kayvon Beykpour, antigo chefe de produto, e Bruck Falck, antigo responsável pela área de receitas do Twitter. Ambos foram despedidos em maio, naquilo que foi descrito como um “arrumar de casa” antes da chegada de Musk.

O que são os bots do Twitter e que importância têm? Sete respostas sobre a nova obsessão de Elon Musk

Mas esta nem sequer foi esta a notícia da semana neste turbilhão do Twitter. É que, no meio da agitação, houve a denúncia feita pelo antigo chefe de segurança, Peiter Zatko, avançada pelo Washington Post e pela CNN.

O que chama a atenção na denúncia do antigo executivo do Twitter?

Peiter Zatko foi responsável pela área de segurança do Twitter durante 15 meses, até ser despedido em janeiro deste ano. Mais conhecido pelo nickname Mudge, é um dos nomes mais reconhecidos entre a comunidade de hackers, fama que conquistou durante os anos de 1990. Esta semana veio a público denunciar as “deficiências extremas” que considera existirem na rede social, justamente nas sensíveis áreas da segurança e privacidade.

Assumiu, em entrevista ao Washington Post, que tentou outras alternativas até fazer chegar, no mês passado, a extensa denúncia às mãos do regulador de mercados dos Estados Unidos (SEC), ao Departamento de Justiça e à Comissão Federal do Comércio dos Estados Unidos (FTC). “Senti uma obrigação ética. Não é um passo fácil de dar”, admitiu o antigo responsável de segurança do Twitter.

“Este nunca seria o meu primeiro passo, mas acredito que ainda estou a cumprir a minha obrigação para com Jack [Dorsey, cofundador do Twitter e ex-CEO, que o convidou a integrar a empresa] e para com os utilizadores da plataforma”, disse ao Washington Post. “Quero terminar o trabalho para o qual o Jack me trouxe, que é o de melhorar as coisas”. Zatko explicou que assim que foi despedido do Twitter quis alertar as autoridades para situações que considera perigosas na companhia, instando as instituições a entrar em cena, especialmente a FTC.

Na denúncia, Zatko retratou o Twitter como uma empresa com “extremas e significativas deficiências” na área da segurança. Além disso, também deixou no ar a existência de resistência por parte dos executivos de topo da rede social em mudar o estado de segurança da empresa. Em suma: a falta de ação, defendeu Zatko, está a deixar numa situação vulnerável os 238 milhões de utilizadores da rede social.

O Twitter não é uma rede social usada apenas para partilhar pensamentos do dia-a-dia – é um dos meios usados por agências governamentais, chefes de Estado e, em alguns casos, até por ativistas, com situações de segurança alegadamente instáveis. Independentemente do utilizador, o Twitter retém um conjunto de dados pessoais, como nome, email, data de nascimento e, em alguns casos, números de telefone.

Zatko terá anexado à denúncia uma análise de segurança que escreveu sobre o Twitter em fevereiro, quando já tinha sido despedido da empresa. “O Twitter é gravemente negligente em várias áreas da segurança de informação. Caso estes problemas não sejam corrigidos, os reguladores, media e utilizadores da plataforma vão ficar chocados quando inevitavelmente perceberem que o Twitter tem graves falhas de segurança básica”, citou o Washington Post.

O antigo responsável de segurança do Twitter denuncia que a empresa estaria a dar prioridade ao crescimento da base de utilizadores – uma métrica-chave para a análise do desempenho financeiro da companhia – em detrimento da segurança e do controlo de spam na plataforma. Aliás, a investigação do Washington Post sugere que foram dados bónus aos executivos pelo aumento de utilizadores; já para a eliminação de contas falsas não haveria benefício, o que poderia retirar algum incentivo a esta atividade.

Além disso, Zatko considerou que demasiados empregados do Twitter tinham acesso a informação que considerava excessiva sobre a atividade da empresa. A denúncia refere que cerca de metade dos 7 mil empregados da rede social conseguia aceder a informações da empresa, sem que os acessos fossem monitorizados atentamente. De acordo com o ex-executivo, isto terá aberto a porta ao acesso a dados sensíveis ou a alterações sobre o funcionamento da rede social. Pelo menos três empregados do Twitter confirmaram ao Washington Post esta informação da denúncia.

Peiter Zatko considerou ainda que a empresa criada por Jack Dorsey estava a descurar os cuidados com os computadores dos empregados. A denúncia alega que cerca de 30% dos portáteis da companhia estariam a bloquear atualizações automáticas de software e, eventualmente, a impedir correções de fragilidades de segurança. Além disso, “milhares de computadores” teriam cópias completas do código do Twitter – uma verdadeira mina de ouro. E nas mãos erradas podia provocar estragos grandes — como sabotar a rede social.

O historial de segurança do Twitter não ajuda nesta matéria: em 2009, hackers conseguiram controlar o acesso administrativo da rede social, conseguindo alterar palavras-passe, aceder a dados dos utilizadores e até enviar tweets. A conta de Barack Obama, então prestes a assumir o cargo de Presidente dos EUA, foi um dos alvos. Em 2011, o Twitter e a FTC chegaram a um acordo sobre este incidente de segurança, que obrigou a rede social a criar e a manter um extenso programa de cibersegurança, sujeito a auditorias independentes, durante um período de vinte anos.

Este acordo com a FTC também figura na explanação de Peiter Zatko. Segundo o denunciante, a realidade que terá encontrado no Twitter, em 2020, apresentaria poucos progressos face ao acordo feito há quase dez anos. Embora um conjunto de empregados assumisse junto do conselho de administração e da FTC que estavam a progredir no âmbito do plano previsto no acordo, Zatko encontrou poucas diferenças. Segundo a denúncia, apenas um décimo dos projetos desenvolvidos pelo Twitter teria implementado procedimentos para garantir que o novo código estava livre de “bugs” perigosos. Em alguns cenários, esta questão seria mesmo vista internamente como “opcional”.

Zatko terá avisado a administração da empresa para estas questões que deixavam a rede social vulnerável. No entanto, diz que terá recebido pouca disponibilidade da direção para mudar o que considerou ser um caos. Uma fonte citada pelo Washington Post refere que, no espaço de um ano, o responsável de segurança terá conseguido fazer apenas seis reuniões com Jack Dorsey, então CEO e a quem Zatko reportava diretamente (todas com “menos de meia hora”). Dorsey, que co-fundou o Twitter, estava em simultâneo a liderar a empresa de pagamentos Square, que agora tem o nome de Block. Quando, em novembro de 2021, Dorsey saiu da companhia e passou o testemunho a Parag Agrawal, o novo CEO e o responsável de segurança terão chocado.

Os bots, as contas automáticas que são usadas para uma variedade de coisas, desde relembrar utilizadores para verem publicações mais tarde ou descarregar vídeos, também eram outra questão sensível dentro da empresa, destacou Zatko. Nas diversas comunicações ao mercado, o Twitter estima que estas contas de bots e de spam representem cerca de 5% do total de utilizadores. Zatko garante que tentou obter mais dados sobre este tema, mas que não terá recebido uma resposta direta. E, citando uma “fonte sensível”, o antigo responsável de segurança do Twitter admite que a empresa terá alguma relutância em divulgar estes números, já que podem “prejudicar a imagem e a avaliação da empresa”. Zatko acusa a companhia de ter ferramentas bem menos robustas para deteção de spam e bots do que aquilo que tenta passar ao mercado.

“Os tweets de Agrawal e as publicações anteriores no blog do Twitter induzem em erro ao dizer que o Twitter tem implementados sistemas proativos e sofisticados para medir e bloquear os bots de spam”, segundo a denúncia, tornada pública pelo Washington Post. “A realidade: na maioria são sistemas obsoletos, não monitorizados e simples, a que se juntam equipas de reação que trabalham demasiado, são ineficientes e têm poucos recursos”, considerou Zatko.

Twitter acusa Zatko de “liderança ineficaz” e “desempenho fraco”

Como seria de esperar, o Twitter defende-se das duras acusações feitas por Peiter Zatko. Primeiro, através da porta-voz da rede social, Rebecca Hahn, logo no dia em que foi conhecida a denúncia e, mais tarde, através de uma carta enviada pelo CEO, Parag Agrawal, aos empregados. A comunicação aos trabalhadores foi tornada pública através das redes sociais por um jornalista da CNN.

NEW: First time Twitter CEO @paraga weighs in on whistleblower story.

Sending this message to staff this morning. pic.twitter.com/WY4TCqbA5q

— Donie O'Sullivan (@donie) August 23, 2022

Ambas as declarações caracterizam Peiter Zatko como um “oportunista” que quer tirar partido do momento sensível do Twitter (prestes a enfrentar um julgamento) e como um funcionário com um “desempenho fraco” e um líder “ineficaz”. “A segurança e a privacidade são há muito uma das principais prioridades do Twitter”, indicou Rebecca Hahn. Esta porta-voz referiu ainda “imprecisões” nesta denúncia e acusou Zatko de aparentar ter “agora um sentido oportunista de infligir danos ao Twitter, aos seus clientes e acionistas”.

E, na ótica desta porta-voz, Peiter Zatko foi despedido ao fim de 15 meses de trabalho por ter um “desempenho fraco” e uma “liderança ineficaz”. Zatko foi despedido em janeiro de 2022, já pelo novo CEO. As entrevistas que deu, tanto ao Washington Post como à CNN, deixam de fora o que terá levado ao despedimento. Ainda assim, os advogados de Zatko (que está a ser auxiliado pela organização sem fins lucrativos Whistleblower Aid) negam que tenha sido despedido por questões ligadas a desempenho ou a liderança.

Na carta do CEO aos empregados, Parag Agrawal corroborou a teoria de um despedimento ligado ao desempenho laboral, seguindo a linha das primeiras declarações de reação da empresa. Embora referisse que estavam a ser analisadas as notícias sobre a denúncia, dizia que “até agora tinha visto uma falsa narrativa, impregnada de inconsistências e imprecisões, apresentada sem contexto importante” e que “era frustrante e confusa de ler”, reforçando que Mudge tinha sido “responsável por vários aspetos do trabalho que agora está a retratar de forma imprecisa mais de seis meses depois do seu despedimento”. Ainda assim, o CEO frisou na carta que “nada retirava importância ao trabalho” que está a ser desenvolvido para “salvaguardar a privacidade e segurança dos clientes e dos seus dados”.

Agrawal garantiu ainda que o trabalho na área da segurança “continuava a ser uma prioridade importante” para o Twitter. No fim, deixava uma mensagem de aviso. “Vamos usar todos os meios para defender a nossa integridade enquanto companhia e transmitir todos os factos.”

Quem é Zatko (que já foi chamado para ser ouvido no Senado)?

Nos dias seguintes à publicação da denúncia, foram feitos longos perfis sobre o percurso deste “hacker” da velha guarda, que começou a testar a segurança dos primórdios da internet apenas por diversão. E, em muitos desses perfis, o percurso de Mudge era polvilhado de declarações de antigos colegas de ofício – uns a atestar as suas qualidades e outros a mencionarem uma personalidade “vingativa”.

Ian Brown, um antigo engenheiro do Twitter que agora trabalha na Netflix, recorreu, segundo a Bloomberg, à rede social para comentar o assunto: “Mudge é um idiota mesquinho e vingativo”, classificou, acrescentando que “Jack Dorsey é um tremendo mau juiz de carácter”.

1) ⁦@dotMudge⁩ is a petty, vindictive jerk

2) @jack is an astonishingly bad judge of character https://t.co/xXke9IVjFC

— Ian Brown (@igb) August 23, 2022

Na área da cibersegurança, há também quem conteste a forma como Zatko decidiu vir a público denunciar a situação do Twitter. “Quando se é contratado para liderar a área de segurança numa empresa, não há dúvida de que se vai herdar problemas de segurança”, comentou um responsável pela segurança de uma empresa de criptomoedas, citado pela Bloomberg, sob anonimato.

Do outro lado da barricada, Alec Muffett, um amigo de longa data deste denunciante, é citado pela Bloomberg referindo que “Zatko não é do género de gritar fumo sem haver fogo.” Muffett teoriza que, sendo alguém ligado à tecnologia e com um perfil para agir, essa postura poderá não ter agradado a parte dos executivos da companhia.

Al Sutton, um antigo empregado do Twitter, que terá trabalhado na rede social durante a passagem do ex-executivo de segurança, também reconheceu as falhas da rede social. Apesar de Al Sutton já não trabalhar há ano e meio no Twitter, garantiu à Bloomberg que continuava a ter acesso ao código menos crítica da empresa, mas sugeriu receio em verificar se conseguia também ainda aceder a código mais relevante. “A minha impressão é a de que a segurança [no Twitter] é mais parecida com a de uma startup do que com a de empresas semelhantes onde já trabalhei, como a Google ou o Facebook”, afirmou em declarações citadas pela Bloomberg.

Não é de agora que Peiter Zatko, conhecido pelo nickname Mudge, tem esta capacidade de ganhar admiradores ou de gerar irritações. Para uns pode ser um ilustre desconhecido mas, para outros, tem quase um lugar garantido na “hall of fame” dos hackers. Terá sido justamente esse ponto que terá levado, no final de 2020, Jack Dorsey a convidá-lo para liderar a área de segurança do Twitter, após um adolescente ter conseguido furá-la, chegando às contas de Joe Biden ou Elon Musk.

É percetível o “fascínio” de Dorsey com Mudge, de 51 anos, como contaram fontes ao Washington Post. É quase um pioneiro da área da segurança que desde os anos 90 alerta as autoridades para as consequências e riscos das vulnerabilidades. Em 1998, integrou o grupo de hackers Lopht (lido como “loft”) que testemunhou perante o Senado norte-americano, garantindo que a internet era algo tão frágil que era possível derrubá-la em apenas meia hora de esforço.

Este é, aliás, um evento que, em 2019, mereceu um lugar de destaque na conta de Twitter de Mudge, que a 20 de maio desse ano partilhou uma série de tweets a relembrar os acontecimentos. “Hoje assinala-se o aniversário do testemunho que eu e outros membros do Lopht demos perante o Senado em 1998. Foi a primeira vez em que o Governo dos Estados Unidos se dirigiu publicamente a hackers num contexto positivo”, escreveu. Ainda hoje, 24 anos após esse acontecimento, a conotação negativa da palavra hacker continua a ser mais utilizada – o termo abrange quem usa soluções alternativas para resolver problemas. Entretanto, até se popularizou o termo “hacktivist”, um híbrido entre hacker e ativista.

Today is the anniversary of the testimony I and other members of the l0pht gave to the US Senate in 1998.

It was the first time the US Govt. publicly referenced “hackers” in a positive context.

The coverage was national and even international.

Come behind the scenes.

/Thread pic.twitter.com/S2kZA8g8vd

— Mudge (@dotMudge) May 20, 2019

No testemunho, o grupo deixou de lado os nomes “civis” e usou apenas as alcunhas pelas quais eram conhecidos. A visita incluiu, além do testemunho, um passeio pelo museu da NSA e fotografias na sala de imprensa da Casa Branca. Ainda nos anos 90, Peiter Zatko foi fotografado ao lado do então Presidente Bill Clinton e de Vint Cerf, co-inventor da internet. Eram os primeiros tempos da preocupação com a segurança da internet.

Depois do grupo L0pht, Peiter Zatko esteve associado a outro grupo, o Cult of the Dead Cow (culto da vaca morta, numa tradução livre). O Washington Post recorda que as táticas usadas por este grupo para testar a segurança das empresas eram mais chamativas, como a de tentar atacar computadores com Microsoft Windows recorrendo a CD com código em conferências de “hacking”. Em algumas entrevistas, anos mais tarde, os especialistas de segurança da Microsoft da altura terão reconhecido o contributo do grupo para a área da segurança, ao exigir mais das empresas.

O percurso profissional de Zatko fica também marcado pelo trabalho na DARPA, a agência norte-americana dedicada à investigação avançada de projetos para defesa. Foi justamente nesta agência, ainda nos anos 60, que foram feitas as experiências da rede que, mais tarde, levariam à internet.

Zatko regressaria à área das empresas, com passagens pela Motorola e pela Google. Em 2013, quando trabalhava na gigante de pesquisa, voltou a tecer comentários irreverentes, recorda a Bloomberg. Na conferência anual dedicada a hackers, a DefCon, em Las Vegas, partilhou os bastidores do seu trabalho no governo dos Estados Unidos. “Não sou um representante do governo dos EUA ou do meu atual empregador”, citou a Bloomberg. “Tenho a certeza de que nenhum deles ficaria contente por eu estar aqui a contar isto, mas acho que é a minha obrigação partilhar algumas histórias pessoais”. Na altura, levantou alegações de que o Departamento de Defesa teria “não intencionalmente criado o WikiLeaks” ao enfurecer o seu fundador Julian Assange, quando lhe retirou a bolsa de financiamento quando era estudante. Além disso, Zatko referiu também que os EUA teriam ajudado a criar o coletivo Anonymous.

Até ingressar no Twitter, em 2020, trabalhou na segurança da Stripe, a empresa de pagamentos rival da Square/Block de Jack Dorsey. “Juntei-me ao Twitter porque é um recurso crítico para o mundo”, justificou ao Washington Post sobre aquilo que o levou até à rede social. Aceitou o cargo no final de 2020.

A 6 de janeiro de 2021, já trabalhava na empresa quando uma multidão entrou de rompante no Capitólio. Na altura, discutia-se a suspensão de Donald Trump do Twitter, com sugestões de que teria sido através dos tweets do ex-Presidente norte-americano na rede social que a multidão fora encorajada a invadir um dos símbolos da democracia americana. No mesmo dia, de acordo com a denúncia feita este ano, a equipa de transição de Joe Biden, então Presidente eleito, terá convidado Peiter Zatko a assumir o cargo de diretor de segurança de informação do governo federal, logo nesse mês. Zatko admite ao Washington Post que ponderou a oferta durante “dia e meio”, mas acabou por recusar. Acreditava que ainda tinha trabalho a fazer no Twitter. Um ano depois, foi despedido da rede social por Parag Agrawal.

O comité do Senado de Justiça dos Estados Unidos já pediu a sua presença para prestar declarações sobre a denúncia que fez. Mudge será ouvido a 13 de setembro, desta vez deverá apresentar-se com o seu nome Peiter Zatko.

O que representa a denúncia para o julgamento Twitter vs Musk?

A denúncia feita por Peiter Zatko sobre as vulnerabilidades de segurança da rede social e de como os executivos da companhia terão desvalorizado os alertas feitos chega num momento crucial para a rede social. A 17 de outubro arranca o julgamento no tribunal do Delaware, onde o Twitter quer obrigar Elon Musk a concretizar a compra da empresa.

O ponto das contas falsas e de quanto pesam no total de utilizadores do Twitter tem sido um dos cavalos de batalha de Elon Musk desde que mudou de ideias nesta compra – algo que também consta nesta denúncia de Peiter Zatko e que poderá dar alguma força à defesa de Musk. Os advogados de Elon Musk têm defendido que o Twitter se recusou a fornecer informação que é vista como essencial para o negócio ser concretizado, incluindo números de bots e spam.

Fontes referem ao Washington Post que a FTC já terá começado a analisar a denúncia feita por Peiter Zatko. Se efetivamente se confirmar que os números reais de spam e bots são mais altos do que aqueles que são comunicados ao público, poderá ser uma vantagem para Musk.

E por isso os advogados do homem mais rico do mundo não ignoraram as denúncias. O advogado Alex Spiro assumiu que já tinha sido feita uma “intimação ao senhor Zatko” para prestar informação sobre o assunto, considerando achar “curiosa a saída [de Zatko da empresa] e de outros empregados à luz daquilo que tem sido descoberto” pela defesa.

pic.twitter.com/KsWiazActx

— Elon Musk (@elonmusk) August 23, 2022

A reação de Musk à divulgação da denúncia foi bastante diferente da dos seus advogados. Como é habitual, preferiu o Twitter e o recurso a imagens. O magnata sul-africano escolheu uma imagem do grilo da consciência do Pinóquio, com as palavras “give a little whistle” (assobia um pouco), num trocadilho com a palavra “whistleblower” (denunciante). Partilhou ainda uma imagem do artigo do Washington Post, acompanhada do comentário “afinal a prevalência de spam era partilhada com a administração, mas a administração escolheu não divulgar isso ao público…”.