Twitter现在有自己的举报人问题。上周,该公司的前安全主管 Pieter “Mudge” Zatko 公开了一份广泛的举报人投诉,详细说明了他在任职期间遇到的众多安全漏洞和其他问题。
大部分投诉都详细说明了他遇到的具体安全问题。它还一再抨击 Twitter 的高管将用户和收入增长置于平台安全之上,并声称在某些情况下高管在这些问题上向 Twitter 董事会和公众撒谎。
但《华盛顿邮报》 公布的文件中一些最引人注目的声明,包括长达 84 页的举报人投诉,以及关于公司错误信息政策的报告,不仅仅是不惜一切代价的增长文化。他们详细说明了公司安全方面的重大失误,以及那些不在场或不关心这些做法所带来的风险的高管。它们还有助于揭示该公司有时应对错误信息和其他安全问题的混乱方法。
值得注意的是,Twitter 对其中大部分声明只字未提。该公司表示,举报人的投诉“充满了不准确之处”,但没有详细说明。事实上,自投诉公开后的一周内,该公司在很大程度上拒绝以任何方式公开解决 Zatko 提出的具体问题
但是,尽管许多人都关注 Zatko 的指控,即 Twitter 就机器人的流行向马斯克撒谎,但还有其他一些值得审查的说法——Twitter 没有详细解决这些说法。该公司没有回应有关 Zatko 索赔内容的问题。
Twitter的工资单上可能有外国代理人
Zatko 提出的一些最具爆炸性的说法是那些谈论 Twitter 与外国政府和组织的互动如何可能危及国家安全的说法。他提出的问题包括:Twitter 可以让为外国政府工作的人员配备员工。
他说,至少有一名印度政府的代理人在公司的工资单上,并声称美国政府消息人士单独警告说,至少有一名员工“代表另一个特定的外国情报机构工作”。目前尚不清楚消息来源指的是哪个国家,但至关重要的是,这不会是 Twitter 工作人员为另一个国家进行间谍活动的第一个例子。
他还对 Twitter 与“中国实体”的持续财务关系(可能是通过广告)以及他们如何能够使用该公司的工具来识别使用 VPN 的人以规避该国对该服务的禁令表示担忧。 “先生。 Zatko 被告知 Twitter 过于依赖收入流,除了试图增加收入之外,别无他法,”投诉称。
杰克·多尔西“脱离接触”,帕拉格·阿格拉瓦尔让问题“恶化”
在整个投诉中,Zatko 描述了与 Jack Dorsey 和现任 CEO Parag Agrawal 的互动(Zatko 第一次加入公司时,Agrawal 是首席技术官)。两位高管的表现都不是特别好。
投诉指出,多尔西亲自招募了扎特科担任安全主管,但一旦他开始,扎特科就说多尔西要么缺席,要么奇怪地保持沉默。根据起诉书,在他们一起工作的整个过程中,这两位高管“不超过六次”一对一的电话——在此期间,多尔西“总共说了大概 50 个字”。 (多尔西后来在推特上说这是“完全错误的”。)扎特科也许是出于好心,将多尔西的举止描述为“不敬业”,并表示这位首席执行官在 2021 年“经历了严重的注意力丧失”。扎特科的经历显然也不是独一无二的。
从投诉:
在一些会议上——即使在他听取了复杂的公司问题的简报之后,多西也没有说话。马奇从他的同事那里听说多西会保持沉默数天或数周。高层担心多尔西的身体状况,多半为他掩饰,但即便是中下层,也能看出这艘船没有舵。
Zatko 还描述了与 Agrawal 的紧张关系,无论是在他担任 CTO 期间,还是在 Dorsey卸任后接任 CEO 一职时。投诉在某一时刻指出,Twitter 的一些最大问题“是在 Agrawal 的监督下发展起来的”。他声称 Agrawal 非常了解公司的安全问题,但没有采取任何措施解决这些问题,因为“Agrawal 在担任首席技术官的过程中导致了这些问题,或者让它们恶化了。”在前安全负责人描述的一起事件中,阿格拉瓦尔被告知“巨大的危险信号”,但没有努力进一步调查。
在 2021 年 8 月左右,Mudge 通知当时的 CTO Agrawal 和其他人,Twitter 工程师的登录系统平均每天记录 1500 到 3000 次登录失败,这是一个巨大的危险信号。 Agrawal 承认没有人知道这一点,并且从未指派任何人来诊断为什么会发生这种情况或如何解决它。
更令人担忧的是,他声称 Agrawal 告诉他就 Twitter 的安全问题有多严重向 Twitter 董事会撒谎。他说,当他试图纠正他们提供的误导性信息时,他最终被解雇了。 (Agrawal告诉Twitter 员工,Zatko 因“领导不力和表现不佳”而被解雇。Zatko 通过他的律师对这一说法提出异议。)
Twitter 的内部安全措施令人震惊地松懈
Zatko 于 2020 年底加入 Twitter,以支持该公司的系统和实践,此前发生了一场备受瞩目且极其令人尴尬的黑客攻击,其中青少年比特币诈骗者能够接管一些 Twitter 最有影响力的用户的一些账户。因此,他在加入后不久就发现了几个安全问题也就不足为奇了。但投诉描述了一些“严重的缺陷”,这些缺陷显然比 Zatko 预期的任何事情都要糟糕。
例如,他反复指出员工设备管理不善。与 Twitter 规模的许多公司不同,它没有 MDM(移动设备管理)政策,“使公司无法查看或控制用于访问公司核心系统的数千台设备”。同样,Zatko 声称许多员工的计算机也没有得到适当的维护。据他介绍,超过 30% 的员工设备禁用了软件更新。
他说,推特“没有主动监控员工在他们的设备上做什么”。以至于 Twitter 多次发现员工“应外部组织的要求故意在他们的工作计算机上安装间谍软件”,而且他们的行为往往只是“偶然”曝光。
Twitter 在监控员工设备方面做得很少这一事实更令人担忧,因为根据 Zatko 的说法,该公司 10,000 名员工中约有一半“被授予访问敏感的现场制作系统和用户数据的权限以完成他们的工作。”当他声称该公司在 2020 年黑客攻击后收紧了访问权限时,他还声称 Agrawal “歪曲了事实”。
该公司告诉《华盛顿邮报》 ,它自 2020 年以来已经改进了其安全实践,但没有详细说明。
Twitter 的数据中心面临“公司倒闭”失败的风险
根据 Zatko 的说法,Twitter 的数据中心处于非常糟糕的状态,以至于 Twitter 可能永久失去服务的风险是非零的。
从投诉:
Mudge 震惊地得知,即使是少数数据中心的临时但重叠的中断也可能导致服务离线数周、数月或永久。 ……除此之外,所有工程师都可以通过某种形式访问数据中心,数据中心中的大多数系统都在运行供应商不再支持的过时软件,并且由于日志记录极差,可见性极低。
根据 Zatko 的说法,这些问题非常严重,可能会引发“存在的公司结束事件”。后来,他说,这种情况几乎发生在 2021 年春天,当时“夜以继日的推特工程师勉强能够在整个平台关闭之前稳定问题。”
Fleets、Spaces 和 Birdwatch 等新功能存在安全问题
在过去的一年半里,Twitter 一直在竞相创建新功能,因为它面临着增加用户群和收入的压力。但根据举报人的文件,有时会在没有充分考虑安全性的情况下推出主要的新功能。
例如,Zatko 声称,该公司现已不复存在的消失推文功能 Fleets “避免在发布前进行安全和隐私审查”。投诉指出,Twitter 工程师不得不竞相解决推出后不久出现的隐私问题。另一份关于 Twitter 错误信息的报告也提出了 Fleets 的问题。它指出该功能原定于 2020 年大选之前推出,但该公司的安全团队不得不“乞求”将推出推迟到大选之后
多名受访者报告说,他们不得不“恳求”产品团队不要在选举前推出,因为他们没有资源或能力在如此繁忙、关键的时刻对新产品的虚假信息或错误信息采取行动。
Zatko 还声称,另一个备受瞩目的新功能 Spaces 在内容审核方面存在重大问题。
“2021 年 12 月,一位高管错误地告诉员工和董事会成员,Twitter 的“Spaces”产品正在得到适当的审核。但 Mudge 研究并发现,大约一半被标记为待审核的“Spaces”内容使用的是版主不会说的语言,而且几乎没有进行审核。”
较小的实验也遇到了问题。该公司的协作事实检查功能Birdwatch也是 Twitter 安全团队的“痛点”,他们担心支持 QAnon 的帐户可能会加入。这种担忧显然是有根据的,因为在实验公开的前一天晚上发现了这种担忧。
在启动 Twitter 的 Birdwatch 计划时,SI [Site Integrity] 团队的成员表示,他们参与了整个过程,并就如何使产品更安全提出了建议,包括特别警告与 QAnon 结盟的用户可能会尝试加入。然而,反馈并没有被纳入试图保持产品开放的尝试中,导致最后一刻争先恐后地确保产品发布。在 Birdwatch 推出的前一天晚上,Twitter 意识到一个公开的 QAnon 帐户已被 Birdwatch 计划接受。
Twitter缺乏足够的资源来解决错误信息
这些问题在另一份同样由《华盛顿邮报》发表的文件中进一步详细说明,涉及 Twitter 的错误信息政策。这份由一家外部公司应 Mudge 的要求编写的报告发现,该公司“在应对虚假信息和错误信息威胁方面始终落后于曲线”。它得出的结论是,“缺乏对关键资源的投资,以及被动的政策和流程,导致 Twitter 一直处于危机状态,这不支持公司保护真实对话的更广泛使命。”
该报告详细说明了这些团队在 Twitter 的人手不足,并指出该公司在 2020 年总统大选期间依靠内部“志愿者”来加强其错误信息工作,还一再指出该公司缺乏有效监控的人员或资源英语以外的其他语言的错误信息和其他威胁。报告的作者写道:“尽管有全球使命,但我们发现在资源、工具和能力方面的持续差距意味着 Twitter 没有能力在全球范围内运营——包括在优先市场——在涉及错误信息和虚假信息时。”
Zatko 声称其他 Twitter 高管试图“隐藏”“该死的独立报告”的调查结果。
Twitter 的内部支持有时不存在且“不合适”
跟踪错误信息和处理内容审核并不是 Zatko 说 Twitter 有时难以跟上的唯一领域。他报告说@TwitterSupport 帐户“在历史上是无人值守的”。当他开始工作时,积压了超过 100 万个支持案例,其中包括“骚扰、违反各种规则、报告的账户和推文、账户问题等项目”。
虽然他说他监督的改进大大减少了积压案件的数量。 “从历史上看,积压的案件最终会变得如此陈旧,以至于它们会被默默地关闭,大多数人都会同意这是不适当的支持。”
下一步是什么
接下来发生的大部分事情将取决于调查这些索赔的政府机构——细节已发送给司法部、美国证券交易委员会和联邦贸易委员会——但这也会在短期内让公司的事情变得更加复杂。
Twitter 已经与埃隆·马斯克 (Elon Musk) 就其 440 亿美元的收购案展开了一场高风险的法律战,而马斯克已经在利用这起诉讼试图推迟审判,并助长他背弃交易的论据。 (在一份声明中,扎特科的律师表示,他遵守马斯克的传票是“非自愿的”,并且“他没有向适当的政府机构披露他的举报人以使马斯克受益或损害 Twitter,而是为了保护美国公众和 Twitter 的股东。”)
这些披露也引起了国会的注意,扎特科定于 9 月 13 日向参议院司法委员会作证。 “先生。 Zatko 对 Twitter 普遍存在安全漏洞和外国行为者干预的指控引起了严重关注,”委员会主席参议员迪克·德宾 (Dick Durbin) 在一份声明中说。 “如果这些说法是准确的,它们可能会给全球 Twitter 用户带来危险的数据隐私和安全风险。”
推特自然没有对即将举行的参议院听证会、马斯克的传票或 FTC 或 SEC 的潜在调查发表评论。