在新发布的Twitter 举报人投诉中的许多诅咒指控中,令人不安的是,在 1 月 6 日美国国会大厦遭到袭击期间,Twitter 无法密封其生产环境以防范任何潜在的内部威胁。 Twitter 的前安全主管 Peiter “Mudge” Zatko 在向联邦贸易委员会 (FTC)、美国证券交易委员会 (SEC) 和司法部提交的一项广泛的新投诉中指责 Twitter 存在严重的网络安全疏忽。在从数据保护不善到违反 FTC 的各种指控中,该投诉表明 Twitter 缺乏保护自己的能力,如果其任何员工出现流氓行为。
这个问题是1 月 6 日在暴徒袭击美国国会大厦后发现的。作为预防措施,Zatko 曾想锁定 Twitter 的内部系统,但发现这不是一个选择。
扎特科说,他询问了负责工程设计的高管,Twitter 如何密封其生产环境,以保护其免受可能支持暴徒的员工的任何内部威胁。投诉解释说,在 Capitol 攻击正在进行时,Zatko 不希望任何员工访问或可能破坏生产环境。
然而,他发现,这样的封锁不仅困难,而且据称是不可能的。
“所有工程师都可以访问,”投诉称。 “没有记录谁进入环境或他们做了什么。当 Mudge [Peiter Zatko] 询问在这个高风险时期可以做些什么来保护服务的完整性和稳定性免受流氓或心怀不满的工程师的影响时,他了解到这基本上什么都没有。没有日志,没有人知道数据存放在哪里或是否重要,所有工程师都对生产环境具有某种形式的关键访问权限,”投诉中写道。
Twitter 于 2020 年末聘请 Zatko领导安全部门,此前一场备受瞩目的攻击损害了乔·拜登、比尔·盖茨和埃隆·马斯克等几位知名人士的 Twitter 账户。在 Zatko 在 Twitter 任职期间,这位安全专家声称目睹了一家缺乏基本安全控制和程序的公司,大约 5,000 人——或当时 Twitter 员工的一半——被授予“敏感的现场制作系统和用户”的访问权限数据”以完成他们的工作。
这违背了标准工程和安全原则,这些原则通常会锁定对实时生产环境的访问。 Twitter 规模的科技公司的工程师通常会使用暂存环境和测试数据,而不是实时客户数据。扎特科发现,Twitter 没有。相反,他发现员工使用实时客户数据和其他敏感信息直接在生产中构建、测试和开发新软件,他说。此外,投诉指出,大部分访问都没有受到监控或记录。
由于 Twitter 的安全性受损,Zatko 说它在国会大厦暴动期间很容易受到内部威胁。
该投诉还强调了 Twitter 缺乏日志记录如何允许员工采取各种行动而不会被抓到。由于纽约州金融服务部 (DFS) 对 2020 年 7 月 15 日黑客入侵加密货币公司和其他知名人士的 Twitter 账户进行了调查,Twitter 围绕正确日志记录的问题已经为人所知。 DFS 发现Twitter 缺乏足够的网络安全保护,包括“足够的访问控制和身份管理,以及足够的安全监控”。
此外,投诉指出,在 2020 年Twitter 黑客事件发生时,Twitter 没有首席信息安全官 (CISO),当时这是社交媒体平台历史上最大的黑客事件。 Zatko 在投诉中将此标记为 Twitter 违反其2011 年 FTC 同意令的方式之一。 (FTC 的命令是在 2009 年发生的多起其他安全事件允许黑客对 Twitter 系统进行管理控制之后发布的。根据 FTC 协议的条款,Twitter 被命令建立和维护一个全面的信息安全计划,该计划将由外部审计员。)
投诉称,Twitter 在 2020 年遭到攻击时,既没有首席信息安全官,也没有精通信息安全和隐私工程的高管——就在国会大厦袭击事件发生前几个月。 2019 年 12 月,该公司失去了前任安全主管 Mike Convertino,他离职后加入了一家网络弹性公司 Arceo。直到 2020 年 9 月下旬,Twitter 才聘请了云数据管理公司 Rubrik 的Rinki Sethi担任首席信息安全官。这意味着 Twitter 在 1 月 6 日之前的一年中大部分时间都没有首席信息安全官。
Zatko 后来于 2020 年 11 月加入 Twitter ,负责安全工作。
投诉称,在没有首席信息安全官的情况下,当时的 Twitter 首席技术官、现任首席执行官 Parag Agrawal 是纠正 2020 年 Twitter 黑客攻击所暴露的安全漏洞的关键决策者。
后来,在 Jack Dorsey 于 2021 年 11 月离职后接任 CEO 后,Agrawal 于今年 1 月动摇了 Twitter 的执行领导层,Zatko 和 Sethi 都离开了公司。在 Sethi 离开后,Twitter 随即任命Lea Kissner 为临时首席信息安全官。
Twitter 在向媒体发表的声明(包括提供给 TechCrunch的声明中)将 Zatko 的举报视为“充斥着不一致和不准确之处”的“虚假叙述”。
Agrawal 还在一份备忘录中向公司员工发送了同样的信息,如下所示。
新:Twitter 首席执行官@paraga第一次参与举报人的故事。
今天早上向工作人员发送此消息。 pic.twitter.com/WY4TCqbA5q
— 多尼·奥沙利文 (@donie) 2022 年 8 月 23 日