Twitter 前安全主管 Peiter “Mudge” Zatko 在《华盛顿邮报》获得的举报人投诉中表示,该公司在其安全措施方面误导了监管机构。在他向证券交易委员会、司法部和联邦贸易委员会提交的投诉中,他指责该公司违反了早在 2011 年与 FTC 解决隐私纠纷时所同意的条款。他说,Twitter ,在保护网站免受攻击者方面存在“极端、严重的缺陷”。
作为 FTC 和解的一部分,Twitter 已同意实施和监控安全保护措施以保护其用户。然而,Zatko 表示,Twitter 一半的服务器运行的是过时且易受攻击的软件,数千名员工仍然拥有对公司核心软件的广泛内部访问权限,这在以前曾导致巨大的漏洞。如果您还记得的话,不良行为者能够通过使用社会工程攻击针对员工的内部系统和工具,在 2020 年征用该网站上一些最知名用户的账户,包括巴拉克奥巴马和埃隆马斯克的账户.
在那次事件之后,该公司聘请了曾领导 DARPA 网络间谍检测项目的 Zatko 担任安全主管。他认为,安全应该是公司更关心的问题,因为它可以访问许多公众人物的电子邮件地址和电话号码,包括持不同政见者和活动家,如果他们被人肉搜索,他们的生命可能会受到威胁。
前安全负责人写道:
“Twitter 在信息安全的多个领域存在严重疏忽。如果不纠正这些问题,当监管机构、媒体和平台用户不可避免地了解到 Twitter 严重缺乏安全基础时,他们会感到震惊。
此外,Zatko 指责 Twitter 通过分配与增加每日用户数量相关的奖金来优先考虑用户增长而不是减少垃圾邮件。投诉称,该公司没有发放任何与减少网站上的垃圾邮件直接相关的奖金。 Zatko 还声称,他无法从 Twitter 获得有关平台上机器人真实数量的直接答复。自 2019 年以来,Twitter 只计算了可以查看和点击广告的机器人,在其 SEC 报告中,其机器人估计数一直低于 5%。
Zatko 想知道整个平台的实际机器人数量,而不仅仅是可获利的机器人。他援引一位消息人士的话说,Twitter 对确定网站上机器人的真实数量持谨慎态度,因为这“会损害公司的形象和估值”。事实上,在执行官开始采取措施退出他440 亿美元的收购之后,他的披露可能会成为 Twitter 与埃隆·马斯克 (Elon Musk) 的法律战的一个因素。马斯克 指责 Twitter 存在欺诈行为,因为他在网站上隐藏了真实的虚假账户数量,并透露他的分析师发现的机器人数量比 Twitter 声称的要高得多。不过,正如《华盛顿邮报》所指出的,Zatko 提供了有关垃圾邮件和机器人程序的有限硬文件证据,因此尚不清楚这是否有助于马斯克的案件。
当被问及为什么他提出举报人投诉时——他由非营利性律师事务所 Whistleblower Aid 代表——Zatko 回答说,作为一名从事网络安全工作的人,他“感到有道德义务”这样做。然而,Twitter 发言人 Rebecca Hahn 否认该公司没有将安全作为优先事项。 “长期以来,安全和隐私一直是 Twitter 公司的首要任务,”她说,并补充说 Zatko 的指控“充满了不准确之处”。她还表示,推特在 15 个月后解雇了扎特科,“因为他表现不佳和领导能力不佳”,而他现在“似乎在投机取巧地寻求对推特、其客户和股东造成伤害”。
原文: https://www.engadget.com/twitter-whistleblower-security-holes-115558064.html?src=rss