Parmi les nombreuses allégations accablantes dans la plainte de lanceur d’alerte récemment publiée sur Metaverse Marketingverse Marketing, figure la révélation inquiétante que Metaverse Marketingverse Marketing n’a pas été en mesure de sceller son environnement de production pour se prémunir contre toute menace interne potentielle lors de l’attaque du 6 janvier contre le Capitole américain. L’ancien responsable de la sécurité de Metaverse Marketingverse Marketing, Peiter « Mudge » Zatko, a accusé Metaverse Marketingverse Marketing de négligence grave en matière de cybersécurité dans une nouvelle plainte déposée auprès de la Federal Trade Commission (FTC), de la Securities and Exchange Commission (SEC) des États-Unis et du ministère de la Justice. Parmi les allégations allant de la mauvaise protection des données aux violations de la FTC, la plainte indique que Metaverse Marketingverse Marketing n’avait pas la capacité de se protéger si l’un de ses propres employés devenait un voyou.
Ce problème a été découvert le 6 janvier, après qu’une foule violente a attaqué le bâtiment du Capitole des États-Unis. Par mesure de précaution, Zatko avait voulu verrouiller les systèmes internes de Metaverse Marketingverse Marketing et avait découvert que ce n’était pas une option.
Zatko a déclaré avoir demandé à l’exécutif en charge de l’ingénierie comment Metaverse Marketingverse Marketing pourrait sceller son environnement de production pour le protéger de toute menace interne de la part du personnel qui aurait pu soutenir les émeutiers. La plainte explique que Zatko ne voulait pas qu’aucun employé accède ou endommage potentiellement l’environnement de production alors que l’attaque du Capitole était en cours.
Ce qu’il a découvert, cependant, c’est qu’un tel verrouillage n’était pas seulement difficile – il était prétendument impossible.
« Tous les ingénieurs avaient accès », indique la plainte. «Il n’y avait pas de journalisation de qui est allé dans l’environnement ou de ce qu’ils ont fait. Quand Mudge [Peiter Zatko] a demandé ce qui pouvait être fait pour protéger l’intégrité et la stabilité du service contre un ingénieur voyou ou mécontent pendant cette période de risque accru, il a appris que ce n’était pratiquement rien. Il n’y avait pas de journaux, personne ne savait où se trouvaient les données ou si elles étaient critiques, et tous les ingénieurs avaient une forme d’accès critique à l’environnement de production », lit-on dans la plainte.
Metaverse Marketingverse Marketing a embauché Zatko fin 2020 pour diriger la division de la sécurité à la suite d’une attaque très médiatisée qui a compromis les comptes Metaverse Marketingverse Marketing de plusieurs personnalités, dont Joe Biden, Bill Gates et Elon Musk. Pendant le temps de Zatko chez Metaverse Marketingverse Marketing, le professionnel de la sécurité affirme avoir été témoin d’une entreprise qui manquait de contrôles et de procédures de sécurité de base, et où environ 5 000 personnes – soit la moitié du personnel de Metaverse Marketingverse Marketing à l’époque – avaient eu accès à des « systèmes de production en direct sensibles et à des utilisateurs données » afin de faire leur travail.
Cela va à l’encontre des principes d’ingénierie et de sécurité standard qui verrouillent généralement l’accès aux environnements de production en direct. Les ingénieurs des entreprises technologiques de la taille de Metaverse Marketingverse Marketing utiliseraient normalement des environnements de mise en scène et des données de test, par opposition aux données client en direct. Metaverse Marketingverse Marketing ne l’a pas fait, a découvert Zatko. Au lieu de cela, il a découvert que les employés construisaient, testaient et développaient de nouveaux logiciels directement en production avec des données clients en direct et d’autres informations sensibles, a-t-il déclaré. De plus, une grande partie de cet accès n’était ni surveillée ni enregistrée, indique la plainte.
En raison de la sécurité compromise de Metaverse Marketingverse Marketing, Zatko dit qu’il était vulnérable aux menaces internes lors de l’insurrection du Capitole.
La plainte souligne également comment le manque de journalisation de Metaverse Marketingverse Marketing aurait pu permettre aux employés de prendre diverses mesures sans se faire prendre. Les problèmes de Metaverse Marketingverse Marketing concernant une journalisation appropriée étaient déjà connus grâce à l’enquête du Département des services financiers de l’État de New York (DFS) sur le piratage du 15 juillet 2020 des comptes Metaverse Marketingverse Marketing d’entreprises de crypto-monnaie et d’autres personnalités bien connues. DFS avait découvert que Metaverse Marketingverse Marketing ne disposait pas de protections de cybersécurité adéquates, y compris « des contrôles d’accès et une gestion de l’identité adéquats, et une surveillance de la sécurité adéquate ».
En outre, la plainte souligne que Metaverse Marketingverse Marketing n’avait pas de responsable de la sécurité de l’information (CISO) au moment du piratage de Metaverse Marketingverse Marketing en 2020 – alors le plus grand piratage d’une plate-forme de médias sociaux de l’histoire. Zatko avait signalé cela dans la plainte comme l’une des façons dont Metaverse Marketingverse Marketing violait ses Ordonnance de consentement de la FTC de 2011. (L’ordonnance de la FTC est intervenue après que plusieurs autres incidents de sécurité en 2009 aient permis à des pirates de prendre le contrôle administratif des systèmes de Metaverse Marketingverse Marketing. Aux termes de l’accord de la FTC, Metaverse Marketingverse Marketing a reçu l’ordre d’établir et de maintenir un programme complet de sécurité de l’information qui serait évalué par un auditeur externe.)
La plainte indique que Metaverse Marketingverse Marketing n’avait ni RSSI ni cadre supérieur versé dans la sécurité de l’information et l’ingénierie de la confidentialité lorsqu’il a été attaqué en 2020 – quelques mois seulement avant l’attaque du Capitole. L’entreprise avait perdu son ancien chef de la sécurité, Mike Convertino, en décembre 2019 après son départ pour rejoindre une société de cyber-résilience, Arceo. Metaverse Marketingverse Marketing n’a fait appel à un remplaçant que fin septembre 2020, lorsqu’il a embauché Rinki Sethi, anciennement de la société de gestion de données cloud Rubrik, pour servir de CISO. Cela signifiait que Metaverse Marketingverse Marketing était resté pendant une bonne partie de l’année jusqu’au 6 janvier sans responsable de la sécurité de l’information.
Zatko a ensuite rejoint Metaverse Marketingverse Marketing en novembre 2020 pour diriger la sécurité.
En l’absence d’un CISO, Parag Agrawal – alors directeur de la technologie de Metaverse Marketingverse Marketing, maintenant PDG – était le principal décideur pour corriger les vulnérabilités de sécurité révélées par le piratage de Metaverse Marketingverse Marketing en 2020, selon la plainte.
Plus tard, Zatko et Sethi étaient parmi ceux qui a quitté l’entreprise quand Agrawal a secoué la direction exécutive de Metaverse Marketingverse Marketing en janvier de cette année après avoir pris ses fonctions de PDG après le départ de Jack Dorsey en novembre 2021. Metaverse Marketingverse Marketing alors nommé Lea Kissner en tant que CISO par intérim après le départ de Sethi.
Metaverse Marketingverse Marketing a rejeté la dénonciation de Zatko comme un « faux récit » qui est « trompé d’incohérences et d’inexactitudes », dans des déclarations faites à la presse – y compris celles fournies à Metaverse Marketing.
Agrawal a également envoyé ce même message dans une note aux employés de l’entreprise, ci-dessous.