据《华盛顿邮报》 8月23日报道,推特前安全主管Peiter Zatko向美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和司法部提交了一封举报文件。在文件中,Zatko控诉推特在安全实践中存在“令人震惊的”漏洞,在安全、隐私和内容审核方面存在“严重缺陷”。他还认为,推特高管在联邦监管机构面前谎报安全实力。 Zatko是著名黑客,于2020年底被推特招揽担任安全部门主管。几个月后,黑客劫持了若干世界名人的推特帐户,包括乔·拜登(Joe Biden)和埃隆·马斯克(Elon Musk)。2022年1月,他被推特解雇,任职不到两年。 关于名人推特帐户被盗事件,举报文件中称,黑客的招数非常简单,“黑客假装是推特的IT支持,给一些员工打电话,要求他们提供密码。一些员工上当受骗并提供了密码,而且由于推特访问控制的系统缺陷,手持凭证的黑客可以畅通无阻,入侵任何帐户。” 推特否认上述指控,称Zatko今年1月是因领导不力和表现不佳而被解雇。推特称,安全和隐私一直是推特的优先事项和长期目标。
安全控制差,数据未加密
《华盛顿邮报》报道,Zatko今年早些时候向联邦贸易委员会、证券交易委员会和司法部提出了申诉,申诉文件长达84页。 代表Zatko的“吹哨人”援助组织律师John Tye向哥伦比亚广播公司(CBS)表示,“他非常担心,以至于他冒着可能危及他未来职业生涯的风险,告知监管机构、国会、公众他所发现的漏洞的危害。” “他在推特发现的东西与其他公司的情形都不一样,”Tye补充,Zatko的代号Mudge,他以前曾在谷歌、Stripe和国防高级研究计划局工作过。 Zatko称,推特的内部安全控制很差,该公司1万多名员工中,有多达一半的人可以接触到敏感的用户数据。数千名员工的电脑包含推特源代码的完整副本,30%的员工电脑关闭了自动安全更新和系统防火墙,还未经批准启用了远程桌面访问。同时,推特没有员工电话管理系统。 他还表示,推特在用户注销帐户后没有完全删除用户数据,在某些情况下推特已经失去了对信息的追踪能力,因此推特在是否按要求删除数据方面误导了监管机构。此外,推特许多存储和处理用户信息的数据中心不支持数据加密。 根据推特2011年与联邦贸易委员会的和解协议,推特被要求维持一个“全面的信息安全计划”,但Zatko称,”推特从来没有遵守2011年与联邦贸易委员会的和解协议。” “仅在2020年,推特就发生了40多起安全事件,其中70%与访问控制有关,”文件中写道。 除了控诉推特公司网络安全存在严重缺陷外,Zatko还表示印度政府强迫推特雇用其一名代理商。 Zatko还声称,推特公司雇用了外国间谍,他引用了一个美国政府消息来源的说法,即 “某位或多位雇员为另一个外国情报机构工作”。
无力清理平台垃圾账户
除了对安全松懈的指控,这项指控还呼应了埃隆·马斯克(Elon Musk)对该平台被机器人占领的批评,称高管们无法知道哪些账户是假的。 投诉中称,推特无意清理或没有能力清理平台上的僵尸和垃圾邮件账户,而且它对用户的个人身份信息管理不善,经常出现安全漏洞。 今年早些时候,马斯克曾出价440亿美元收购Twitter,但在今年7月撤回了收购要约。但法律程序上是否要求马斯克如约完成收购案,将在10月进行审判。 Zatko在投诉中称:“无知是高管领导团队的常态。”公司甚至无法提供垃圾邮件和机器人账户的具体数目。他声称,负责网站完整性的团队不知道如何检测机器帐户,忙于内部闹剧,公司也没有动力去管控机器帐户。 Zatko声称,Twitter使用的一种内部验证方法,但经常被禁用,每个月挫败了多达1200万个机器人。该投诉称,2021年,Twitter创建了一种奖金结构,员工可以获得高达1000万美元的奖金,以短期增加可盈利的日活跃用户(mDAU),但减少平台上的垃圾邮件并不在奖励范围内。 推特向监管机构表示,平台的日活跃用户中只有不到5%是机器人。然而,Zatko表示这是一个谎言,因为mDAU指标的设计已经排除了机器人和其他垃圾邮件账户。 美国参议院情报委员会发言人雷切尔·科恩(Rachel Cohen)说,委员会已经收到了起诉书,并“正在安排一次会议,进一步讨论指控的相关细节,我们会认真对待这件事。”
转载请注明:IT运维空间 » 安全防护 » 推特前安全主管控诉存在 "令人震惊"的安全漏洞
发表评论