Twitter 的前安全负责人 Peiter “Mudge” Zatko 在CNN和华盛顿邮报首次获得的爆炸性举报人投诉中指控他的前雇主网络安全疏忽。
知名黑客 Zatko 于 2020 年底被 Twitter 聘为该公司安全部门的负责人,而几个月前,黑客在一次非常公开的违规事件中劫持了包括乔·拜登和埃隆在内的一些世界上最著名的人的 Twitter 账户马斯克。不到两年后,他就被公司解雇了。
尽管他在 Twitter 的时间很短,但 Zatko 说他目睹了“严重的缺陷、疏忽、故意无知以及对国家安全和民主的威胁”,根据他于 7 月 6 日向美国证券交易委员会提交的举报人投诉( SEC)、联邦贸易委员会 (FTC) 和司法部。他告诉华盛顿邮报,他的公开举报是在他试图向 Twitter 董事会标记安全漏洞之后被忽略的。
Zatko 在 TechCrunch 审查的投诉中称,Twitter 缺乏基本的安全控制。他说,数千台员工笔记本电脑包含 Twitter 源代码的完整副本,其中大约三分之一的设备阻止了自动安全修复,关闭了系统防火墙,并为未经批准的目的启用了远程桌面访问。 Zatko 还指责该公司未能积极监控员工在电脑上的操作。结果,“多次发现员工应外部组织的要求,故意在其工作计算机上安装间谍软件,”投诉称。
Zatko 还声称,大约 5,000 名全职员工可以广泛访问公司的内部软件,并且访问没有受到密切监控,使他们能够利用敏感数据并改变服务的工作方式。
Zatko 在公司工作期间表示,他遇到了许多“等待被发现”的漏洞。他说,他发现该公司 500,000 台数据中心服务器中有一半运行在不支持基本安全功能(例如存储数据加密)的过时软件上,或者不再从供应商那里收到定期安全更新,这意味着 Twitter 遭受了“ Zatko 表示,安全事件的发生率异常高,并且“有理由担心 Twitter 可能会遭受 Equifax 级别的黑客攻击”,指的是 2017 年导致近 1.5 亿美国人个人信息被盗的信用机构违规事件。
投诉称,该公司每周大约发生一起严重的安全事件,以至于 Twitter 被要求向政府机构报告。
“仅在 2020 年,Twitter 就发生了 40 多起安全事件,其中 70% 与访问控制有关,”投诉中写道。 “其中包括 20 起被定义为违规的事件;除了其中两个之外,所有这些都与访问控制有关。”
除了声称存在严重的网络安全漏洞之外,Zatko 还声称印度政府强迫 Twitter 雇佣其一名代理人,并且该公司一再违反2011 年与 FTC 达成的协议条款。投诉称,Twitter 在取消账户后并没有可靠地删除用户的数据(包括直接消息),在某些情况下是因为该公司丢失了对信息的追踪,并且它误导了监管机构关于它是否按原样删除数据需要做的。
该投诉还可能对 Twitter 与马斯克的法律战产生影响,马斯克正试图摆脱价值 440 亿美元的购买社交媒体平台的合同。 Zatko 表示,Twitter 高管没有足够的资源来完全了解平台上机器人的真实数量,也没有这样做的动力。
Twitter 发言人 Madeline Broas 在一份样板声明中告诉 TechCrunch:“先生。 Zatko 于 2022 年 1 月因领导不力和表现不佳而被推特解雇。到目前为止,我们看到的是关于 Twitter 以及我们的隐私和数据安全实践的虚假叙述,其中充斥着不一致和不准确的信息,并且缺乏重要的背景。 Zatko 先生的指控和投机取巧的时机似乎旨在吸引注意力并对 Twitter、其客户和股东造成伤害。长期以来,安全和隐私一直是 Twitter 公司范围内的优先事项,并将继续如此。”
原文: https://techcrunch.com/2022/08/23/twitter-peter-zatko-mudge-security-whistleblower/