前推特資安主管、傳奇駭客Mudge成為吹哨者:半數員工可以取得用戶敏感資訊、危害國家安全

Elponcho
分享
前推特資安主管、傳奇駭客Mudge成為吹哨者:半數員工可以取得用戶敏感資訊、危害國家安全

美國傳奇駭客 Mudge (Peiter Zatko) 七月份向美國證交會 (SEC)、司法部等政府機構提起訴訟,指控推特 (Twitter) 違反對聯邦交易委員會的承諾,未能做好資訊安全。Zatko 表示,推特的重大資安漏洞會危及國家安全,這也是他為何選擇站出來的原因。Zatko:「我認為推特是世界上重要的資源,它是一個極度重要的平台。」 

Zatko 在提出訴訟後,接受華盛頓郵報CNN 訪問。華盛頓郵報表示,儘管 Zatko 沒有透露具體內容,但吹哨文件內容可能會影響推特公司的合規與財務狀況,以及特斯拉創辦人馬斯克之間的停止收購訴訟。

若 Zatko 的指控屬實,推特恐將面臨數億美元的罰款。 

Zatko 爆料內容

根據華盛頓郵報取得的內容,Zatko 控訴

  • 推特是一間陷入內鬨、混亂無章缺乏領導的公司,無法保護包含政府機構、國家元首以及其他影響力人物的 2.38 億日常用戶
  • 推特違反與聯邦交易委員會的協議,未能保障平台資訊安全 (註:因 2009 年駭客兩度取得推特管理控制權)
  • Zatko 表示,推特有一半的伺服器運行者過時且易受攻擊的軟體,高層更隱瞞了違規的數量與用戶數據缺乏保護的事實
  • 推特重視用戶成長,將垃圾訊息問題擺在後面。
  • 7000 名員工有半數都可以使用關鍵系統,可以取得用戶的敏感資訊
  • 推特是分享新聞與抗議活動的重要工具,但它也成為政府打擊異己的目標。印度政府要求推特雇用一名政府代理人,他也因此可以大量取得敏感數據
  • 未能實際因應用戶要求刪除用戶數據
  • 推特也沒有能夠有效處理假資訊的人才
  • Zatko 任職期間僅與 Jack Dorsey 有過六次一對一通話,並少於 30 分鐘,全年 Jack Dorsey 對他說不到五十個字
  • 全公司有數千台筆電具有推特代碼的完整副本,駭客若接管,將可輕鬆造成破壞
  • 推特刻意誤導董事會,掩蓋資安問題

被推特辭退,官方:刻意造成傷害

2020 年推特遭駭客入侵,盜用多位名人帳號要求加密貨幣贈款。時任推特執行長的 Jack Dorsey 雇用他來管理資訊安全,直到 2022 年 1 月被解僱。

推特回應媒體表示,六個月前 Zatko 因表現不佳與領導能力問題被推特解僱,就目前推特可以看到的指控來說,有許多非事實與不準確的地方,同時也缺乏重要的背景說明,認為他僅是為了獲得注意力,卻傷害了推特及其用戶與股東。

不過,Zatko 表示,是在 Jack Dorsey 於去年 11 月卸任後,因為 Zatko 告訴董事會推特無法好好保護用戶敏感資訊時,被新任的執行長 Parag Agrawal 解僱。除此,支持 Zatko 的吹哨者組織也強調,Zatko 的吹哨動機單純,與特斯拉訴訟無關聯,也沒有私下聯繫。

Zatko 說道:「我仍然相信這是一個巨大的平台,存在巨大的價值和巨大的風險,我希望回首過去,世界會因為這次事件而變得更美好。」