Twitter-Mitarbeiter können sich noch immer über ein "GodMode" oder "privilegierter Modus" genanntes Tool umfangreiche Rechte verschaffen.
Ingenieure von Twitter können sich noch immer spielend einfach Zugang zum GodMode verschaffen. Das zumindest ließ ein neuer Whistleblower gegenüber der FTC verlauten. Durch das unternehmensinterne Tool ist es den Angestellten möglich, Tweets von jedem beliebigen Benutzerkonto aus zu teilen, zu löschen sowie bei Bedarf wiederherzustellen.
“Privilegierter Modus” verschafft Angestellten weitreichende Befugnisse
Der Aussage eines neuen Whistleblowers zufolge verfügt das soziale Netzwerk Twitter selbst Monate nach seiner Übernahme durch Elon Musk noch immer über einen sogenannten “GodMode”.
Dieses inzwischen in “privilegierter Modus” umbenannte Tool erlaube es dem Personal des Konzerns, von jedem beliebigen Konto aus zu twittern. Ebenso sei auch das Löschen und Wiederherstellen von Tweets mit dem sicherheitskritischen Werkzeug möglich.
Zweck dieses Programms sei es ursprünglich gewesen, Mitarbeitern das Publizieren von Tweets im Namen von Werbetreibenden zu erlauben. Insbesondere jenen, die selbst nicht dazu in der Lage seien.
Jeder Twitter-Ingenieur kann auf den GodMode zugreifen
Wie The Washington Post berichtet, handelt es sich bei dem Whistleblower um einen ehemaligen Mitarbeiter des Kurznachrichtendienstes. Dieser habe sich mit ihm bekannten Sicherheitsproblemen an die US-amerikanische Federal Trade Commission (FTC) gewandt.
Seinen Aussagen zufolge könne jeder interessierte Twitter-Ingenieur mit seinem Laptop auf den GodMode zugreifen. Und das, obwohl das ehemalige Management erklärt hatte, “dass die Zahl der Personen, die Zugang zu solch mächtigen Werkzeugen hatten, im Jahr 2020 reduziert worden sei”.
Es reiche demnach aus, wenn ein Entwickler ein Flag im Code von dem Wert “FALSE” auf “TRUE” ändere. Die anschließende Ausführung auf einem via SSH erreichbaren Produktivsystem verschaffe dem Twitter-Mitarbeiter schließlich Zugang zum GodMode.
Eine Protokollierung darüber, wer wann Zugang zu dem Werkzeug hat und Gebrauch davon macht, erfolge grundsätzlich nicht. Ein vermeintlich warnender Kommentar an der entsprechenden Stelle im Code erleichtert interessierten Mitarbeitern jedoch zusätzlich die Suche: „DENK NACH, BEVOR DU DAS TUST.„
Stellungnahmen zum Twitter-GodMode sind noch Mangelware
Eine große Motivation sei für den neuen Whistleblower der frühere Twitter-Sicherheitschef Peiter Zatko gewesen. Dieser erhob bereits im letzten Jahr schwere Vorwürfe gegen seinen ehemaligen Arbeitgeber.
Weder Ella Irwin, derzeitige Leiterin der Abteilung Vertrauen und Sicherheit des Unternehmens, noch der ehemalige Geschäftsführer Parag Agrawal reagierten bisher auf eine Bitte um Stellungnahme zu dem offenbar weiterhin umfangreich eingesetzten Twitter-GodMode.