Twitter存在安全漏洞 员工可登入任何人账号发文

中国Twitter网消息:,美国参议院司法委员会召开题为“数据安全面临风险:来自Twitter举报人的证词”的听证会。Twitter前网络安全主管Peiter Zatko出席作证时表示,Twitter除了存在安全漏洞,还缺乏对用户数据的管理,比如公司里的工程师只了解其中20%的数据是什么、为什么要收集。

今年7月,Zatko曾指控Twitter存在一系列关系到个人隐私、国家安全的隐患,包括存在未披露的安全和隐私漏洞、可能未按要求删除已注销账号的数据,以及可能雇用了外国情报人员。在这次听证会上,Zatko对这些指控进行了更详细的阐释,认为“Twitter高管不具备完全理解这一问题的能力,但更重要的在于,公司的激励机制使他们重利润、轻安全”。

对此,Twitter回应:“今天的听证会只能证实Zatko的指控充满了矛盾和不准确。”Twitter发言人对CNN表示,公司招聘不受外国影响,公司内部数据的访问是通过背景调查、访问控制和监控系统等措施来管理的。但他拒绝直接回应Zatko提出的一系列具体指控,包括员工中是否混入外国特工。

在听证会同一天,Twitter股东召开会议,投票结果是支持马斯克440亿美元的收购,这意味着想要放弃该交易的马斯克需要进一步诉讼。不过,Zatko在听证会上的证词,以及司法机关由此采取的任何行动,都可能会对这起法律纠纷产生影响。

如指控属实,罚款可达数十亿美元

据悉,Zatko于2020年11月被Twitter聘为网络安全主管,职责是加强公司的网络安全和隐私保护。今年1月Zatko被解雇。Zatko声称,他被解雇是因为他在公司内部对安全漏洞以及公司高管对董事会的虚假陈述提出了担忧。而Twitter发言人称,解雇原因是他“领导不力,表现不佳”。

今年7月,Zatko向美国国会议员和监管机构提交了一份约200页的披露书,指控Twitter存在一系列安全隐患,并且“误导了公众、立法者和监管者甚至他们自己的董事会”。他指控,Twitter没有遵守其在2011年与美国联邦贸易委员会(FTC)达成的保护用户个人信息的协议,在隐私安全、内容审核、虚假账号数量检测方面存在“极其严重的漏洞”,例如系统和软件过时、无法抵挡外部黑客的攻击,员工权限混乱、能够随意访问用户数据,虚假账号数量检测流程存在漏洞等。

Twitter对此的回应是,Zatko的证词是对公司的“错误描述”,“充满了前后矛盾和不准确的地方,缺乏重要背景”,是一次“借机报复”。

听证会前一天,美国参议院司法委员会方面曾致函Twitter的CEO Parag Agrawal,询问了数十个关于其安全措施的问题,包括为保护平台中个人数据所采取的措施,以及如何防止内部威胁等,并要求Twitter 在今年9月26日前作出回应。如果这些指控得到证实,Twitter可能会被处以数十亿美元的罚款。

美国参议院司法委员会还邀请Parag Agrawal参与听证会,回答有关内容审核外包的问题。但Agrawal拒绝出席,声称这可能会对Twitter与马斯克正在进行的诉讼造成影响。参议员Chuck Grassley表示,如果Zatko的指控得到证实,“我不知道Agrawal先生如何能保住他在Twitter的职位”。

在听证会开场发言中,参议员Grassley担心FTC是否有能力监督Twitter遵守个人信息保护的同意令。他说:“在国会考虑联邦数据隐私立法之际,我认为我们有必要利用这些爆料来了解Twitter如何看待其对联邦监管机构的义务。国会也应该注意到FTC在成功监督这些重要问题方面缺乏能力。”

对此,Zatko在听证会上表示,FTC等联邦机构资源不足,与强大的技术平台相比处于劣势。他说,Twitter并不像害怕外国监管机构——比如法国的数据保护机构CNIL那样害怕FTC。这是因为,Twitter担心外国监管机构未来可能对其业务实施持续的处罚或限制,而美国监管机构只会实施一次性的罚款或处罚。

安全漏洞下,工程师可登入任何人账号发文

在作证时,Zatko阐述了他决定成为“吹哨人”的原因。他说,当他加入Twitter时,发现“这家极具影响力的公司落后于行业安全标准十多年”,“会对真实的人造成真实的伤害”。因此,Twitter对国家安全和用户的潜在风险让他决定“有必要为自己和家人承担举报人的个人和职业风险”。

Zatko表示,他曾向公司高管提出关于安全漏洞的担忧,但高管们没有采取行动。他认为:“Twitter高管不具备完全理解这一问题的能力,但更重要的在于,公司的激励机制使他们重利润、轻安全。”

“我揭发此事并非出于怨恨或伤害Twitter。”他说,他希望披露的信息能帮助Twitter最终解决安全问题,他还鼓励该公司倾听其工程师和员工的意见——“他们长期以来都在报告我披露的问题。”

对于Twitter存在的安全漏洞,Zatko披露了他的亲身经历。“我看到过很多次Twitter工程师修补漏洞。我问:‘问题出在什么地方?’他们说:‘工程师可以登入任何人的账号发文,这里涉及数据泄露。’”

“一个Twitter工程师,只要了解系统和数据流如何运行,就可以访问、输入或提取信息。”Zatko警告称,在出现安全漏洞时,说一个Twitter员工可以接管这个房间里所有参议员的账户并不夸张。不过他同时强调,在该公司任职期间,他从未见过这种事发生。

Twitter未能完全了解与控制其收集的数据

对于工程师修补安全隐患的做法,Zatko评论称:“到处寻找伤口并给它们贴上创可贴的做法是无效的,因为系统性的根本问题没有得到解决。”至于什么是“系统性的根本问题”,Zatko认为,是如何更好地控制Twitter收集的数据。

他此前对Twitter的主要指控之一是,Twitter没能令人信服地删除注销账号的用户数据。 “他们需要知道他们拥有什么数据,这些数据在哪里,他们为什么得到这些数据,以及这些数据与谁有关。”Zatko说,如果Twitter能更好地控制其数据,这是可能做到的,但它没有,这是该公司的“根本问题”。

Zatko说,当他来到Twitter时就开始问:“为什么他们总是发生这么多安全事件?”他认为,部分原因是Twitter没有完全了解它从用户那里收集的所有数据,也没有完全了解它为什么要收集这些数据。

他引用的一项由工程师进行的内部研究称,Twitter收集的所有数据中,工程师能够明确为什么要收集、应该如何使用、什么时候应该删除的只有约20%,对于剩下的数据,公司通常不知道这些数据是什么,也不知道为什么要收集。他声称,这些未知数据的样本包括电话号码和地址等个人身份信息。

根据Zatko的说法,Twitter收集用户信息的清单包括:用户的电话号码,最新以及过去使用的IP地址,电子邮件,Twitter存储的用户住址和访问地址,设备类型,网络浏览器,以及用户使用的语言。

Zatko还表示,由于该公司没有正确理解并保护其收集的数据,进入Twitter系统的不法分子可能会访问并利用这些数据。

Twitter缺乏对员工行为的跟踪,可能被外国利用

此外,参议员Grassley在听证会开场发言中表示,Zatko的披露说明了Twitter用户的个人数据可能会暴露给外国情报机构。他担心,Twitter收集的数据可能被外国特工用于追踪政治异见人士,或监视美国人。

他特别提到了沙特阿拉伯的例子:今年早些时候,一名Twitter前经理被联邦陪审团定罪,罪名是利用自己的内部信息进入推特账户,挖掘批评沙特政权人士的个人信息,并将数据移交给沙特政府。

Zatko认为,政府试图将特工安插到该公司的队伍中可能有很多原因。“这将不仅有助于识别相关人员或追踪相关团体,还可能有助于查看Twitter是否识别了你们的特工或你们的信息业务,以及Twitter可能识别了哪些其他政府的信息……除了在工程方面访问大量数据的能力之外,你还想知道Twitter的计划是什么,是否会在不同类型的政治压力下——比如武力,而屈服于你对环境中信息的控制要求。”

Zatko表示,由于“基础设施和工程技术远远落后”,Twitter内部缺乏对员工行为的跟踪和日志记录,而这增加了外国特工在公司内部操作并利用其数据的风险。“追踪这些人极其困难,缺乏记录,无法看到他们在做什么,什么信息被访问……更不用说制定补救措施了。”

他补充说,因为没有记录内部系统的使用情况,“每周都有数千次访问内部系统的失败尝试发生,但没有人注意到”。他声称,通常只有当外部机构提醒Twitter公司内部有外国特工时,Twitter才会意识到这个人的存在。

在Zatko看来,对于Twitter可能有外国特工混入的情况,公司高管似乎“不愿付出努力”根除。他说,一位高管的回答是:“好吧,既然我们已经有了一个,如果我们有更多的会有什么问题?让我们继续扩大办公室的规模。”

听证会可能影响马斯克与Twitter的诉讼

在周二听证会进行时,埃隆·马斯克在Twitter上发布了一个爆米花表情符号。网友猜测,这表明他可能在密切关注听证会的结果。目前,马斯克正努力通过诉讼摆脱440亿美元收购Twitter的交易。

Zatko在7月的重磅指控给马斯克放弃收购Twitter提供了理由。马斯克表示,Twitter严重违反了收购协议中的多项条款,包括对其平台上垃圾邮件机器人数量存在“误导性陈述”,并引用了Zatko披露的其他指控,比如Twitter违反了2011年美国联邦贸易委员会关于处理私人用户数据的协议。

Zatko在听证会上的证词可能会对这起诉讼产生新影响。周五,马斯克对Twitter提出了最新的反诉。此前负责此案的法官表示,他可以根据Zatko的披露修改自己的论点。不过,Zatko的律师此前曾表示,他与马斯克没有任何联系,对Twitter的指控和对这笔交易没有关系。

上周五,马斯克发出了第三封信,寻求终止与Twitter的协议,称Twitter在6月份向Zatko支付了据称775万美元的遣散费。他认为,这笔款项是Twitter让Zatko对公司运营情况保持沉默的“封口费”,并以此作为终止收购交易的理由之一。9月12日,Twitter回应称,这笔款项只是离职后薪酬赔偿的一部分。

在听证会同一天,Twitter股东召开会议,就是否批准马斯克440亿美元的收购进行投票。股东投票是完成这笔交易所需的最后步骤之一,如果投票结果为反对,马斯克可以立即终止收购交易。投票最终结果是支持该交易。这意味着马斯克与Twitter的诉讼还将继续,法院将在10月开庭审理。