Twitter 安全性质疑：前高管揭露公司存在的重大漏洞

重点总结

• Twitter 的数据安全措施严重不合规，导致用户隐私及国家安全风险；
• 前首席信息安全官 Peiter “Mudge” Zatko 在国会作证，指出公司数据控制薄弱；
• Twitter 面临来自外国政府和内部威胁，未能妥善保护用户数据；
• 现任高管否认 Zatko 的指控，并对他的解雇进行辩解。

Peiter “Mudge” Zatko，这位前 Twitter 安全部门负责人，在2022年9月13日于华盛顿的参议院司法委员会作证时表示，Twitter的广泛安全漏洞对用户隐私及信息构成安全风险，甚至可能危害国家安全。他指出，Twitter的日志、访问和数据控制措施极其薄弱，几乎在引诱黑客、内部威胁、虚假信息代理及外国间谍的利用。

在向国会作证时，Zatko 表示，他在2020年11月加入 Twitter 担任首席信息安全官，意识到公司在安全政策上比行业标准滞后了十多年。Zatko指出，Twitter的数据基础设施高度分散，甚至高层管理人员也不知道公司收集了哪些数据以及存储在哪里。他提出对领导层的担忧后，发现他们的激励结构使得公司更注重“利润而非安全”。

“首先，他们不知道自己拥有哪些数据，这些数据存放在哪里，来自于何处，因此毫不奇怪地，他们不能保护这些数据。” Zatko 在参议院司法委员会作证时说道。

此外，Zatko 指出，Twitter一直面临外国政府诱惑或贿赂员工以获取用户数据的情况。2019年，两名员工因充当沙特阿拉伯的非法外国代理被控，在收到金钱后向沙特当局提供了敏感用户数据。また、Zatko还表示，公司内部也曾有至少一名中国间谍的潜在存在。

他提到，在任职期间观察到至少发生过一次印度的潜在间谍在公司内获取有关与印度政府就特定账户和内容禁令谈判的信息。他指出，Twitter的账户凭证常常在暗网出售。

不过，由于 Twitter 的现状及其领导层对增长和管理其他公共危机的关注，使得公司“缺乏基础能力去追踪并驱逐外国情报机构”。Zatko说，在处理印度间谍的案件时，他不得不组建一个小型内部团队专门监控这名个体，这种解决方案显然无法规模化适用于更大员工基数。

在被问到公司通常收集哪些用户数据时，Zatko 提及了多个项目，包括用户的电话号码、最新的IP地址、电子邮件以及所用的设备类型等信息。

Twitter 高管对此迅速否认 Zatko的指控，并在他的举报行为曝光后表示，他因“低效领导和表现不佳”于2022年1月被辞退。根据《华尔街日报》的报道，Twitter 在 Zatko提交投诉之前向其支付了700万美元以达成和解。

委员会主席迪克·杜宾（Dick Durbin）对此表示，Twitter的基础设施过于重要，不应将用户数据置于不安全之中，他将此类情况比作客户将资金存入一家银行，而银行又将金库“完全敞开”。

他提到了一起广为报道的2020年事件：两名年轻黑客通过电话进行网络钓鱼，伪装成IT支持获取管理访问权限，从而接管了多位知名人士的账户，包括时任总统候选人乔·拜登、前总统奥巴马、埃隆·马斯克等。

杜宾认为，若损害发生的可能性更大，后果可能不堪设想。他问道：“想象一下，如果是恶意黑客或敌对外国政府入侵总统的Twitter账户，散布虚假信息称我们的一座城市发生了恐怖袭击，我们可能会看到广泛的恐慌。”

Twitter在2011年与联邦贸易委员会达成的谅解备忘录已对此类事件进行了关注。然而，Zatko表示，FTC的执行措施（通常以一次性罚款形式存在）与其他国家的监管相比显得乏力，特别是那些如法国的