Twitter 是否将其用户的安全置于危险之中?

已发表: 2022-09-03

Twitter 的前安全主管 Peiter “Mudge” Zatko 于 2022 年 7 月向美国证券交易委员会提交了举报人投诉,指控这家微博平台公司存在严重的安全漏洞。

这些指控放大了 Twitter 可能出售给 Elon Musk 的持续闹剧。

Zatko 在一些最著名的互联网公司和政府办公室担任道德黑客、私人研究员、政府顾问和高管数十年。

他实际上是网络安全行业的传奇人物。 由于他的声誉,当他讲话时,人们和政府通常会倾听——这突显了他对 Twitter 投诉的严重性。

阅读更多:FTC 诉讼暴露了重大的隐私风险,这是你手机的错

作为一名前网络安全行业从业者和现任网络安全研究员,我认为 Zatko 最严厉的指控集中在 Twitter 据称未能制定可靠的网络安全计划来保护用户数据、部署内部控制以防范内部威胁并确保公司的系统是最新的和正确更新。

Zatko 还声称,在向监管机构和公司董事会通报时,Twitter 高管对平台上的网络安全事件不太坦诚。

他声称 Twitter 优先考虑用户增长,而不是减少垃圾邮件和其他有害的内容,这些内容毒害了平台并有损用户体验。

他的投诉还表达了对该公司商业行为的担忧。

据称的安全故障

Zatko 的指控不仅描绘了 Twitter 作为社交媒体平台的网络安全状况,而且描绘了 Twitter 作为一家公司的安全意识,令人不安。

鉴于 Twitter 在全球通信中的地位以及与在线极端主义和虚假信息的持续斗争,这两点都是相关的。

也许 Zatko 最重要的指控是他声称 Twitter 近一半的员工可以直接访问用户数据和 Twitter 的源代码。

久经考验的网络安全实践不允许这么多具有​​这种“根”或“特权”权限的人访问敏感系统和数据。

如果属实,这意味着 Twitter 可能已经成熟,可以从内部或外部对手利用可能未经适当审查的内部人员进行利用。

Zatko 还声称,Twitter 的数据中心可能不像公司声称的那样安全、有弹性或可靠。

他估计,Twitter 在全球的 500,000 台服务器中有近一半缺乏基本的安全控制,例如运行最新的和供应商支持的软件或加密存储在其中的用户数据。

他还指出,该公司缺乏稳健的业务连续性计划,这意味着如果其多个数据中心因网络事件或其他灾难而出现故障,可能会导致“存在的公司倒闭事件”。

这些只是 Zatko 投诉中的部分主张。 如果他的指控属实,那么 Twitter 未能通过网络安全 101。

对外国政府干预的担忧

模糊背景上的 Twitter 徽标
图片:KnowTechie

扎特科的指控也可能引发国家安全问题。

近年来,在大流行和全国选举等全球事件中,Twitter 一直被用来传播虚假信息和宣传。

例如,Zatko 的报告指出,印度政府强迫 Twitter 雇佣政府代理人,他们可以访问大量 Twitter 的敏感数据。

作为回应,印度有时充满敌意的邻国巴基斯坦指责印度试图渗透推特的安全系统,“以遏制基本自由”。

鉴于 Twitter 作为通信平台的全球足迹,俄罗斯和中国等其他国家可能会要求该公司雇用自己的政府代理人,作为允许该公司在其国家运营的条件。

Zatko 对 Twitter 内部安全的指控增加了犯罪分子、激进分子、敌对政府或其支持者通过招募或勒索员工来利用 Twitter 系统和用户数据的可能性,这很可能引发国家安全问题。

更糟糕的是,Twitter 自己关于其用户、他们的兴趣以及他们在平台上关注和互动的信息可能有助于针对虚假信息活动、勒索或其他邪恶目的进行定位。

几十年来,这种针对知名公司及其员工的外国攻击一直是国家安全界的主要反情报担忧。

掉出来

带有 tweetdeck 的屏幕上的 twitter 徽标
图片:营销土地

无论扎特科在国会、美国证券交易委员会或其他联邦机构的投诉结果如何,这已经是马斯克最新提交的法律文件的一部分,因为他试图退出对 Twitter 的收购。

理想情况下,鉴于这些披露,Twitter 将采取纠正措施来改进公司的网络安全系统和实践。

公司可以采取的一个好的第一步是审查和限制谁拥有对其系统、源代码和用户数据的 root 访问权限,并将其限制在必要的最低数量。

公司还应确保其生产系统保持最新状态,并有效准备应对任何类型的紧急情况,而不会严重扰乱其全球运营。

从更广泛的角度来看,Zatko 的投诉强调了网络安全在现代组织中扮演的关键且有时令人不安的角色。

像 Zatko 这样的网络安全专业人士明白,没有公司或政府机构喜欢宣传网络安全问题。

他们倾向于长期而认真地思考是否以及如何提出此类网络安全问题——以及潜在的后果可能是什么。

在这种情况下,扎特科说,他的披露反映了“他被聘为担任社交媒体平台安全负责人的工作”,他说该平台“对民主至关重要”。

对于像 Twitter 这样的公司来说,糟糕的网络安全新闻往往会导致一场公关噩梦,这可能会影响股价及其在市场中的地位,更不用说吸引监管机构和立法者的兴趣了。

对于政府而言,此类披露可能导致对为服务社会而创建的机构缺乏信任,此​​外还可能产生分散注意力的政治噪音。

不幸的是,如何发现、披露和处理网络安全问题仍然是一个困难且有时会引起争议的过程,对于网络安全专业人员和当今的组织来说,都没有简单的解决方案。

对此有什么想法吗? 将讨论转移到我们的 Twitter 或 Facebook。

编辑推荐:

  • Instagram 和 Facebook 在其他网站上跟踪您——方法如下
  • 什么是无线 (OTA) 汽车更新?
  • 这就是为什么每个人都讨厌那些烦人的 cookie 通知
  • iPhone 15 岁了:看看设备的过去、现在和未来

编者注:本文由巴尔的摩县马里兰大学计算机科学与电气工程首席讲师 Richard Forno 撰写,并根据知识共享许可从 The Conversation 重新发布。 阅读原文。