Twitter 的前安全负责人 Peiter “Mudge” Zatko 周二告诉美国参议院司法委员会,这家社交媒体公司的数据处理松懈以及无法向其董事会提出问题,威胁到美国人的隐私、安全和民主。
Zatko 出现在参议院立法者面前,就他上月底提交的举报人报告作证,该报告详细说明了对微博机构网络安全状况的担忧。在今天的证词中,他声称 Twitter 管理层对其董事会以及国内外监管机构撒谎。
“Twitter 的安全故障威胁到国家安全,危及用户的隐私和安全,有时甚至威胁到公司的持续存在,”扎特科在准备好的评论[PDF] 中说。
从 2020 年 11 月到 2022 年 1 月,Zatko 担任 Twitter 安全主管(负责网络安全的高管)。他长达84 页的举报人披露[PDF] 声称该公司歪曲其平台安全、隐私和完整性,欺骗投资者,违反 SEC审计规则,并且在外国影响行动方面要么疏忽大意,要么同谋。
扎特科在证词中表示,推特存在两个基本问题。
“首先,他们不知道他们拥有什么数据、数据在哪里,或者从哪里来,所以不出所料,他们无法保护它,”扎特科说。
“这导致了第二个问题,那就是员工必须对太多数据和太多系统有太多的访问权限。你可以这样想:如果你没有钥匙,谁拥有钥匙并不重要”门上没有锁。”
他将 Twitter 描述为一家由危机管理的公司,而不是一家管理危机的公司。他透露了令人惊讶的做法。例如,他说 Twitter 没有暂存环境,而是工程师将代码推送到处理实时数据的实时生产系统。
Zatko 说,这对充当外国政府代理人的雇员产生了影响,无论是在他们访问敏感数据方面,还是在他们观察各国感兴趣的内容决定的能力方面。他说,他“非常自信地观察到一名来自印度的外国代理人”试图了解 Twitter 如何处理与该国政治相关的内容。
屋子里的敌人
他还回忆说,在他被解雇前一周,联邦调查局通知他,推特的工资单上至少有一名中国情报人员。
“虽然听到这令人不安,但我和其他许多人,认识到 Twitter 的环境状况,真的在想,如果你没有在 Twitter 中放置外国特工——因为很难检测到它们,这对外国特工来说非常有价值待在里面——那么作为外国情报机构,你就没有做好你的工作。”
2019 年,两名前 Twitter 员工被美国司法部指控在 2013 年至 2015 年期间向沙特阿拉伯政府提供有关沙特持不同政见者的个人数据。其中一人 Ahmad Abouammo上个月被判从事间谍活动. 另一名 Ali Alzabarah仍然逍遥法外,据说已于 2015 年返回沙特阿拉伯。
Zatko 在 2020 年前总统巴拉克奥巴马、埃隆马斯克和其他人的Twitter 账户接管后几个月被聘用,他表示,说公司的一名员工可以接管房间里每一位参议员的 Twitter 账户并说他对这种事态的担忧促使他冒着巨大的职业和个人风险成为举报人。
当被问及他观察到的外国代理人访问 Twitter 数据的努力时,Zatko 表示,Twitter 在安全投资方面落后十年的后果之一是,该公司缺乏追踪未经授权访问的方法。
因此,即使公司意识到员工可能从事间谍活动的指控,但由于缺乏集中式日志记录以及查看可疑内部人员在做什么或控制他们的行为的能力,防御工作受到了阻碍。
“他们根本没有能力追捕外国情报机构并自行驱逐他们,”他说。
不仅如此,他在内部还遇到了一种失败主义或冷漠的态度:一位推特高管显然告诉他,为了回应他对外国特工渗入其行列的担忧,鉴于已经有一个人在内部,是否雇用更多人真的很重要?
谎言之网
另外,他指出,Twitter 不会删除退出服务的用户的数据,并在这方面误导了监管机构。“我们没有回答我们是否删除用户数据,而是故意回答我们停用用户并试图回避该程序,因为我们知道我们不会删除用户数据,如果他们要求我们这样做,我们也无法遵守,”他说。
亿万富翁埃隆·马斯克(Elon Musk)抓住了 Zatko 对 Twitter 运营的披露,他提出以 440 亿美元收购 Twitter,然后在市场调整后重新考虑。
Twitter 现在价值约 320 亿美元,以每股 41.74 美元计算,比马斯克以每股 54.20 美元的报价低约 30%。更重要的是,市场调整降低了马斯克和相关投资者可能出售以资助购买的其他公司的股票价值。可以预见的是,鉴于马斯克无意中提出的慷慨报价,Twitter 股东周二投票批准了此次出售。
马斯克希望扎特科的说法能够得到证实,以至于他们免除了他购买社交媒体业务的合同义务。推特快乐的亿万富翁和推特目前正准备在下个月对他们的争议进行审判。
同时,据报道,Zatko 和他周围的人一直是调查的对象,他们寻求可以用来抹黑他的证词的信息。
与此同时,Twitter 对 Zatko 的说法提出异议,但没有解释他应该在哪里犯错。
“今天的听证会只证实了扎特科先生的指控充满了前后矛盾和不准确之处,”推特发言人在通过电子邮件发送给The Register的一份声明中说。
当被要求引用具体的不准确之处时,Twitter 的发言人没有进一步回应。
带齿的调节器
Zatko 的证词中更能说明问题的一点是监管机构的作用。
他说,Twitter 将 FTC 对数据滥用的一次性罚款视为“开展业务的成本”。但该公司对法国和其他国家的监管机构感到“恐惧”。
原因是其他国家实际上采取了后续行动,以确保公司在收到罚款后有所改善,而法国在这方面尤其顽固。相比之下,美国监管机构被视为推销员。
Zatko 对其前雇主的观察充分证明,司法委员会主席参议员 Dick Durbin (D-IL) 和排名成员参议员 Chuck Grassley (R-IA)在周二向 Twitter 首席执行官 Parag Agrawal 发送了一封信[PDF] 寻求答案投诉和听证会上提出的问题。这封信询问了 Twitter 采取了哪些措施来调整其招聘和员工监督政策,以应对该公司代表沙特政府工作的个人的渗透。
在听证会上,参议员 Lindsey Graham (R-SC) 表示,他和参议员 Elizabeth Warren (D-MA) 虽然在政治上相距甚远,但都认为当前的美国监管体系无法管理社交媒体平台。
因此,他们打算共同努力改变事情。“我们将创建一个更像欧洲的系统,一个有牙齿的监管环境,”他说。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Twitter的安全故障威胁到国家安全,危及用户的隐私和安全