Twitter 是否將其用戶的安全置於危險之中?

已發表: 2022-09-03

Twitter 的前安全主管 Peiter “Mudge” Zatko 於 2022 年 7 月向美國證券交易委員會提交了舉報人投訴,指控這家微博平台公司存在嚴重的安全漏洞。

這些指控放大了 Twitter 可能出售給 Elon Musk 的持續鬧劇。

Zatko 在一些最著名的互聯網公司和政府辦公室擔任道德黑客、私人研究員、政府顧問和高管數十年。

他實際上是網絡安全行業的傳奇人物。 由於他的聲譽,當他講話時,人們和政府通常會傾聽——這突顯了他對 Twitter 投訴的嚴重性。

閱讀更多:FTC 訴訟暴露了重大的隱私風險,這是你手機的錯

作為一名前網絡安全行業從業者和現任網絡安全研究員,我認為 Zatko 最嚴厲的指控集中在 Twitter 據稱未能製定可靠的網絡安全計劃來保護用戶數據、部署內部控制以防範內部威脅並確保公司的系統是最新的和正確更新。

Zatko 還聲稱,在向監管機構和公司董事會通報時,Twitter 高管對平台上的網絡安全事件不太坦誠。

他聲稱 Twitter 優先考慮用戶增長,而不是減少垃圾郵件和其他有害的內容,這些內容毒害了平台並有損用戶體驗。

他的投訴還表達了對該公司商業行為的擔憂。

據稱的安全故障

Zatko 的指控不僅描繪了 Twitter 作為社交媒體平台的網絡安全狀況,而且描繪了 Twitter 作為一家公司的安全意識,令人不安。

鑑於 Twitter 在全球通信中的地位以及與在線極端主義和虛假信息的持續鬥爭,這兩點都是相關的。

也許 Zatko 最重要的指控是他聲稱 Twitter 近一半的員工可以直接訪問用戶數據和 Twitter 的源代碼。

久經考驗的網​​絡安全實踐不允許這麼多具有這種“根”或“特權”權限的人訪問敏感系統和數據。

如果屬實,這意味著 Twitter 可能已經成熟,可以從內部或外部對手利用可能未經適當審查的內部人員進行利用。

Zatko 還聲稱,Twitter 的數據中心可能不像公司聲稱的那樣安全、有彈性或可靠。

他估計,Twitter 在全球的 500,000 台服務器中有近一半缺乏基本的安全控制,例如運行最新的和供應商支持的軟件或加密存儲在其中的用戶數據。

他還指出,該公司缺乏穩健的業務連續性計劃,這意味著如果其多個數據中心因網絡事件或其他災難而出現故障,可能會導致“存在的公司倒閉事件”。

這些只是 Zatko 投訴中的部分主張。 如果他的指控屬實,那麼 Twi​​tter 未能通過網絡安全 101。

對外國政府乾預的擔憂

模糊背景上的 Twitter 徽標
圖片:KnowTechie

扎特科的指控也可能引發國家安全問題。

近年來,在大流行和全國選舉等全球事件中,Twitter 一直被用來傳播虛假信息和宣傳。

例如,Zatko 的報告指出,印度政府強迫 Twitter 僱傭政府代理人,他們可以訪問大量 Twitter 的敏感數據。

作為回應,印度有時充滿敵意的鄰國巴基斯坦指責印度試圖滲透推特的安全系統,“以遏制基本自由”。

鑑於 Twitter 作為通信平台的全球足跡,俄羅斯和中國等其他國家可能會要求該公司僱用自己的政府代理人,作為允許該公司在其國家運營的條件。

Zatko 對 Twitter 內部安全的指控增加了犯罪分子、激進分子、敵對政府或其支持者通過招募或勒索員工來利用 Twitter 系統和用戶數據的可能性,這很可能引發國家安全問題。

更糟糕的是,Twitter 自己關於其用戶、他們的興趣以及他們在平台上關注和互動的信息可能有助於針對虛假信息活動、勒索或其他邪惡目的進行定位。

幾十年來,這種針對知名公司及其員工的外國攻擊一直是國家安全界的主要反情報擔憂。

掉出來

帶有 tweetdeck 的屏幕上的 twitter 徽標
圖片:營銷土地

無論扎特科在國會、美國證券交易委員會或其他聯邦機構的投訴結果如何,這已經是馬斯克最新提交的法律文件的一部分,因為他試圖退出對 Twitter 的收購。

理想情況下,鑑於這些披露,Twitter 將採取糾正措施來改進公司的網絡安全系統和實踐。

公司可以採取的一個好的第一步是審查和限制誰擁有對其係統、源代碼和用戶數據的 root 訪問權限,並將其限制在必要的最低數量。

公司還應確保其生產系統保持最新狀態,並有效準備應對任何類型的緊急情況,而不會嚴重擾亂其全球運營。

從更廣泛的角度來看,Zatko 的投訴強調了網絡安全在現代組織中扮演的關鍵且有時令人不安的角色。

像 Zatko 這樣的網絡安全專業人士明白,沒有公司或政府機構喜歡宣傳網絡安全問題。

他們傾向於長期而認真地思考是否以及如何提出此類網絡安全問題——以及潛在的後果可能是什麼。

在這種情況下,扎特科說,他的披露反映了“他被聘為擔任社交媒體平台安全負責人的工作”,他說該平台“對民主至關重要”。

對於像 Twitter 這樣的公司來說,糟糕的網絡安全新聞往往會導致一場公關噩夢,這可能會影響股價及其在市場中的地位,更不用說吸引監管機構和立法者的興趣了。

對於政府而言,此類披露可能導致對為服務社會而創建的機構缺乏信任,此​​外還可能產生分散注意力的政治噪音。

不幸的是,如何發現、披露和處理網絡安全問題仍然是一個困難且有時會引起爭議的過程,對於網絡安全專業人員和當今的組織來說,都沒有簡單的解決方案。

對此有什麼想法嗎? 將討論轉移到我們的 Twitter 或 Facebook。

編輯推薦:

  • Instagram 和 Facebook 在其他網站上跟踪您——方法如下
  • 什麼是無線 (OTA) 汽車更新?
  • 這就是為什麼每個人都討厭那些煩人的 cookie 通知
  • iPhone 15 歲了:看看設備的過去、現在和未來

編者註:本文由巴爾的摩縣馬里蘭大學計算機科學與電氣工程首席講師 Richard Forno 撰寫,並根據知識共享許可從 The Conversation 重新發布。 閱讀原文。