推特前安全主管控诉存在“令人震惊”的安全漏洞

据《华盛顿邮报》 8月23日报道，推特前安全主管Peiter Zatko向美国证券交易委员会（SEC）、联邦贸易委员会（FTC）和司法部提交了一封举报文件。在文件中，Zatko控诉推特在安全实践中存在“令人震惊的”漏洞，在安全、隐私和内容审核方面存在“严重缺陷”。他还认为，推特高管在联邦监管机构面前谎报安全实力。

Zatko是著名黑客，于2020年底被推特招揽担任安全部门主管。几个月后，黑客劫持了若干世界名人的推特帐户，包括乔·拜登（Joe Biden）和埃隆·马斯克（Elon Musk）。2022年1月，他被推特解雇，任职不到两年。

关于名人推特帐户被盗事件，举报文件中称，黑客的招数非常简单，“黑客假装是推特的IT支持，给一些员工打电话，要求他们提供密码。一些员工上当受骗并提供了密码，而且由于推特访问控制的系统缺陷，手持凭证的黑客可以畅通无阻，入侵任何帐户。”

推特否认上述指控，称Zatko今年1月是因领导不力和表现不佳而被解雇。推特称，安全和隐私一直是推特的优先事项和长期目标。

安全控制差、数据未加密

《华盛顿邮报》报道，Zatko今年早些时候向联邦贸易委员会、证券交易委员会和司法部提出了申诉，申诉文件长达84页。

代表Zatko的“吹哨人”援助组织律师John Tye向哥伦比亚广播公司（CBS）表示，“他非常担心，以至于他冒着可能危及他未来职业生涯的风险，告知监管机构、国会、公众他所发现的漏洞的危害。"

"他在推特发现的东西与其他公司的情形都不一样，"Tye补充，Zatko的代号Mudge，他以前曾在谷歌、Stripe和国防高级研究计划局工作过。

Zatko称，推特的内部安全控制很差，该公司1万多名员工中，有多达一半的人可以接触到敏感的用户数据。数千名员工的电脑包含推特源代码的完整副本，30%的员工电脑关闭了自动安全更新和系统防火墙，还未经批准启用了远程桌面访问。同时，推特没有员工电话管理系统。

他还表示，推特在用户注销帐户后没有完全删除用户数据，在某些情况下推特已经失去了对信息的追踪能力，因此推特在是否按要求删除数据方面误导了监管机构。此外，推特许多存储和处理用户信息的数据中心不支持数据加密。

根据推特2011年与联邦贸易委员会的和解协议，推特被要求维持一个“全面的信息安全计划”，但Zatko称，"推特从来没有遵守2011年与联邦贸易委员会的和解协议。"

“仅在2020年，推特就发生了40多起安全事件，其中70%与访问控制有关，”文件中写道。

除了控诉推特公司网络安全存在严重缺陷外，Zatko还表示印度政府强迫推特雇用其一名代理商。

Zatko还声称，推特公司雇用了外国间谍，他引用了一个美国政府消息来源的说法，即 "某位或多位雇员为另一个外国情报机构工作"。

无力清理平台垃圾账户

除了对安全松懈的指控，这项指控还呼应了埃隆·马斯克（Elon Musk）对该平台被机器人占领的批评，称高管们无法知道哪些账户是假的。

投诉中称，推特无意清理或没有能力清理平台上的僵尸和垃圾邮件账户，而且它对用户的个人身份信息管理不善，经常出现安全漏洞。

今年早些时候，马斯克曾出价440亿美元收购Twitter，但在今年7月撤回了收购要约。但法律程序上是否要求马斯克如约完成收购案，将在10月进行审判。

Zatko在投诉中称：“无知是高管领导团队的常态。”公司甚至无法提供垃圾邮件和机器人账户的具体数目。他声称，负责网站完整性的团队不知道如何检测机器帐户，忙于内部闹剧，公司也没有动力去管控机器帐户。

Zatko声称，Twitter使用的一种内部验证方法，但经常被禁用，每个月挫败了多达1200万个机器人。该投诉称，2021年，Twitter创建了一种奖金结构，员工可以获得高达1000万美元的奖金，以短期增加可盈利的日活跃用户（mDAU），但减少平台上的垃圾邮件并不在奖励范围内。

推特向监管机构表示，平台的日活跃用户中只有不到5%是机器人。然而，Zatko表示这是一个谎言，因为mDAU指标的设计已经排除了机器人和其他垃圾邮件账户。

美国参议院情报委员会发言人雷切尔·科恩（Rachel Cohen）说，委员会已经收到了起诉书，并“正在安排一次会议，进一步讨论指控的相关细节，我们会认真对待这件事。”