前高管爆料推特五大安全隱患
2022年8月24日(德國之聲中文網)駭客代號為 "Mudge"的扎特科(Peiter Zatko)是一名受人尊敬的網路安全專家,在20世紀90年代首次嶄露頭角。後來他在五角大樓的國防研究局和谷歌擔任高級職務。今年年初他被推特解僱,理由是他"領導不力和表現不佳"。扎特科的律師稱,有關指責是不符合事實的。
在周二(8月23日)被公開的一份披露內幕的投訴裡,扎特科記錄了他歷時14個月、致力於改善推特安全性的嘗試。包括加強系統安全、提高服務的可靠性、抵禦外國政府特工的入侵,以及衡量和打擊虛假 "機器人 "賬戶等。
在一份就此作回應的聲明中,推特稱扎特科對事件的描述是 "一種錯誤的敘述"。扎特科的批評主要有以下五點:
安全和隱私保護系統極不充分
2011年,在美國聯邦貿易委員會對推特的用戶隱私保護做法進行調查後,推特同意加強數據安全保護。扎特科指出,推特在這方面的問題不僅沒有解決,反而日甚一日。
例如他在申訴中稱,推特的內部系統允許過多員工訪問他們工作中並不需要的用戶個人數據,而這是一種極易導致濫用的情況。此外在長達數年的時間裡,推特還不斷"挖掘"用戶的電話號碼、郵箱地址等個人數據,這些本應僅用於安全保護的訊息,卻被用來精準投放廣告和市場營銷。
壓力之下整個服務系統可能癱瘓
投訴中最引人注目的一條是,聲稱推特的內部數據系統極為雜亂無章,而公司的應急計劃非常不充分,以至於任何大範圍的宕機或意外的關閉都可能使整個平台癱瘓。
令人擔心的是,所謂"級聯"的數據中心故障可能會迅速蔓延到推特脆弱的訊息系統扎特科稱,"這意味著,如果所有中心同時下線,即使是短暫的,推特也不確定他們是否能將
服務恢復正常。估計的停機時間可能是幾周,也可能是到永久性的無法修復的故障。"
誤導監管機構、投資者和馬斯克
扎特科的投訴指出,特斯拉首席執行官馬斯克有關推特管理層沒有動力去準確統計系統中虛假賬戶普遍程度的指責是正確的。馬斯克以440億美元入股推特的收購糾紛將於10月在美國特拉華州法院開庭。
"推特的高級管理層沒有意願去有效衡量機器人假賬戶的普遍程度",投訴寫道。扎特科指出,推特的高管們擔心,對假帳戶更準確的統計會損害公司的 "形象和估價"。
受到心懷不滿的員工的左右?
扎特科稱,在2021年1月6日美國右翼示威者衝擊國會山事件發生之時,他曾擔心一些支持暴亂者的推特員工會試圖破壞這一社交平台。
當他瞭解到,保護平台的核心繫統攻擊是 "不可能的"時,他的擔憂就更加強烈了。"沒有執行記錄,沒有人知道數據在哪裡,以及它們是否是關鍵數據。而所有的工程師都對推特的核心功能有某種形式的重要訪問權"。
外國政府輕易染指數據
投訴還指出,推特難以識別平台上外國代理人的存在,更不要說抵禦了。例如,印度政府要求推特僱用據稱是間諜的特定人員,鑑於推特內部鬆垮的安全管控,這些人有接觸敏感數據的特殊權限。
扎特科還描述了另一種不透明的現象,涉及從身份不明確的"中國機構"收取資金,讓後者獲取可能危害到中國用戶的數據訪問權。
(美聯社)
© 2022年德國之聲版權聲明:本文所有內容受到著作權法保護,如無德國之聲特別授權,不得擅自使用。任何不當行為都將導致追償,並受到刑事追究。