推特前安全主管控訴存在“令人震驚”的安全漏洞

據《華盛頓郵報》 8月23日報道，推特前安全主管Peiter Zatko向美國證券交易委員會（SEC）、聯邦貿易委員會（FTC）和司法部提交了一封舉報文件。在文件中，Zatko控訴推特在安全實踐中存在“令人震驚的”漏洞，在安全、隱私和內容審核方面存在“嚴重缺陷”。他還認為，推特高管在聯邦監管機構面前謊報安全實力。

Zatko是著名黑客，于2020年底被推特招攬擔任安全部門主管。幾個月后，黑客劫持了若干世界名人的推特帳戶，包括喬·拜登（Joe Biden）和埃隆·馬斯克（Elon Musk）。2022年1月，他被推特解雇，任職不到兩年。

關于名人推特帳戶被盜事件，舉報文件中稱，黑客的招數非常簡單，“黑客假裝是推特的IT支持，給一些員工打電話，要求他們提供密碼。一些員工上當受騙并提供了密碼，而且由于推特訪問控制的系統缺陷，手持憑證的黑客可以暢通無阻，入侵任何帳戶。”

推特否認上述指控，稱Zatko今年1月是因領導不力和表現不佳而被解雇。推特稱，安全和隱私一直是推特的優先事項和長期目標。

安全控制差、數據未加密

《華盛頓郵報》報道，Zatko今年早些時候向聯邦貿易委員會、證券交易委員會和司法部提出了申訴，申訴文件長達84頁。

代表Zatko的“吹哨人”援助組織律師John Tye向哥倫比亞廣播公司（CBS）表示，“他非常擔心，以至于他冒著可能危及他未來職業生涯的風險，告知監管機構、國會、公眾他所發現的漏洞的危害。"

"他在推特發現的東西與其他公司的情形都不一樣，"Tye補充，Zatko的代號Mudge，他以前曾在谷歌、Stripe和國防高級研究計劃局工作過。

Zatko稱，推特的內部安全控制很差，該公司1萬多名員工中，有多達一半的人可以接觸到敏感的用戶數據。數千名員工的電腦包含推特源代碼的完整副本，30%的員工電腦關閉了自動安全更新和系統防火墻，還未經批準啟用了遠程桌面訪問。同時，推特沒有員工電話管理系統。

他還表示，推特在用戶注銷帳戶后沒有完全刪除用戶數據，在某些情況下推特已經失去了對信息的追蹤能力，因此推特在是否按要求刪除數據方面誤導了監管機構。此外，推特許多存儲和處理用戶信息的數據中心不支持數據加密。

根據推特2011年與聯邦貿易委員會的和解協議，推特被要求維持一個“全面的信息安全計劃”，但Zatko稱，"推特從來沒有遵守2011年與聯邦貿易委員會的和解協議。"

“僅在2020年，推特就發生了40多起安全事件，其中70%與訪問控制有關，”文件中寫道。

除了控訴推特公司網絡安全存在嚴重缺陷外，Zatko還表示印度政府強迫推特雇用其一名代理商。

Zatko還聲稱，推特公司雇用了外國間諜，他引用了一個美國政府消息來源的說法，即 "某位或多位雇員為另一個外國情報機構工作"。

無力清理平臺垃圾賬戶

除了對安全松懈的指控，這項指控還呼應了埃隆·馬斯克（Elon Musk）對該平臺被機器人占領的批評，稱高管們無法知道哪些賬戶是假的。

投訴中稱，推特無意清理或沒有能力清理平臺上的僵尸和垃圾郵件賬戶，而且它對用戶的個人身份信息管理不善，經常出現安全漏洞。

今年早些時候，馬斯克曾出價440億美元收購Twitter，但在今年7月撤回了收購要約。但法律程序上是否要求馬斯克如約完成收購案，將在10月進行審判。

Zatko在投訴中稱：“無知是高管領導團隊的常態。”公司甚至無法提供垃圾郵件和機器人賬戶的具體數目。他聲稱，負責網站完整性的團隊不知道如何檢測機器帳戶，忙于內部鬧劇，公司也沒有動力去管控機器帳戶。

Zatko聲稱，Twitter使用的一種內部驗證方法，但經常被禁用，每個月挫敗了多達1200萬個機器人。該投訴稱，2021年，Twitter創建了一種獎金結構，員工可以獲得高達1000萬美元的獎金，以短期增加可盈利的日活躍用戶（mDAU），但減少平臺上的垃圾郵件并不在獎勵范圍內。

推特向監管機構表示，平臺的日活躍用戶中只有不到5%是機器人。然而，Zatko表示這是一個謊言，因為mDAU指標的設計已經排除了機器人和其他垃圾郵件賬戶。

美國參議院情報委員會發言人雷切爾·科恩（Rachel Cohen）說，委員會已經收到了起訴書，并“正在安排一次會議，進一步討論指控的相關細節，我們會認真對待這件事。”