推特前安保主管控告存在 令人震惊的安保破绽
据《华盛顿邮报》 8月23日报道,推特前安保主管Peiter Zatko向美国证券买卖委员会(SEC)、联邦贸易委员会(FTC)和司法部提交了一封揭发文件。在文件中,Zatko控告推特在安保通常中存在“令人震惊的”破绽,在安保、隐衷和内容查看方面存在“严重毛病”。他还以为,推特高管在联邦监管机构背地谎报安保实力。
Zatko是驰名黑客,于2020年底被推特招徕担任安所有门主管。几个月后,黑客劫持了若干环球名人的推特帐户,包括乔·拜登(Joe Biden)和埃隆·马斯克(Elon Musk)。2022年1月,他被推特解雇,任职不到两年。
对于名人推特帐户被盗事情,揭发文件中称,黑客的招数十分便捷,“黑客伪装是推特的IT允许,给一些员工打电话,要求他们提供明码。一些员工受骗受骗并提供了明码,而且由于推特访问控制的系统毛病,手持凭证的黑客可以疏通无阻,入侵任何帐户。”
推特否定上述指控,称Zatko往年1月是因指导不力和体现不佳而被解雇。推特称,安保和隐衷不时是推特的优先事项和常年目的。
安保控制差,数据未加密
《华盛顿邮报》报道,Zatko往年早些时刻向联邦贸易委员会、证券买卖委员会和司法部提出了申诉,申诉文件长达84页。
代表Zatko的“吹哨人”声援组织律师John Tye向哥伦比亚广播公司(CBS)示意,“他十分担忧,以致于他冒着或者危及他未来职业生涯的风险,告知监管机构、国会、群众他所发现的破绽的危害。"
"他在推特发现的物品与其余公司的情景都不一样,"Tye补充,Zatko的代号Mudge,他以前曾在谷歌、Stripe和国防初级钻研方案局上班过。
Zatko称,推特的外部安保控制很差,该公司1万多名员工中,有多达一半的人可以接触到敏感的用户数据。数千名员工的电脑蕴含推特源代码的完整正本,30%的员工电脑封锁了智能安保降级和系统防火墙,还未经同意启用了远程桌面访问。同时,推特没有员工电话治理系统。
他还示意,推特在用户注销帐户后没有齐全删除用户数据,在某些状况下推特曾经失去了对信息的追踪才干,因此推特在能否按要求删除数据方面误导了监管机构。此外,推特许多存储和解决用户信息的数据中心不允许数据加密。
依据推特2011年与联邦贸易委员会的和解协定,推特被要求维持一个“片面的信息安保方案”,但Zatko称,"推特素来没有遵守2011年与联邦贸易委员会的和解协定。"
“仅在2020年,推特就出现了40多起安保事情,其中70%与访问控制无关,”文件中写道。
除了控告推特公司网络安保留在严重毛病外,Zatko还示意印度政府强制推特雇用其一名代理商。
有力清算平台渣滓账户
除了对安保松散的指控,这项指控还照应了埃隆·马斯克(Elon Musk)对该平台被机器人霸占的批判,称高管们不可知道哪些账户是假的。
揭发中称,推特有意清算或没有才干清算平台上的僵尸和渣滓邮件账户,而且它对用户的团体身份信息治理不善,经常出现安保破绽。
往年早些时刻,马斯克曾出价440亿美元收买Twitter,但在往年7月撤回了收买要约。但法律程序上能否要求马斯克如约实现收买案,将在10月启动审讯。
Zatko在揭发中称:“无知是高管指导团队的常态。”公司甚至不可提供渣滓邮件和机器人账户的详细数目。他宣称,担任网站完整性的团队不知道如何检测机器帐户,忙于外部闹剧,公司也没有动力去管控机器帐户。
Zatko宣称,Twitter经常使用的一种外部验证方法,但经常被禁用,每个月挫败了多达1200万个机器人。该揭发称,2021年,Twitter创立了一种奖金结构,员工可以取得高达1000万美元的奖金,以短期参与可盈利的日生动用户(mDAU),但缩小平台上的渣滓邮件并不在鼓励范畴内。
推特向监管机构示意,平台的日生动用户中只要不到5%是机器人。但是,Zatko示意这是一个流言,由于mDAU目的的设计曾经扫除了机器人和其余渣滓邮件账户。
美国参议院情报委员会发言人雷切尔·科恩(Rachel Cohen)说,委员会曾经收到了起诉书,并“正在布置一次性会议,进一步探讨指控的相关细节,咱们会仔细看待这件事。”