前推特資安主管、傳奇駭客Mudge成為吹哨者：半數員工可以取得用戶敏感資訊、危害國家安全

美國傳奇駭客 Mudge (Peiter Zatko) 七月份向美國證交會 (SEC)、司法部等政府機構提起訴訟，指控推特 (Twitter) 違反對聯邦交易委員會的承諾，未能做好資訊安全。Zatko 表示，推特的重大資安漏洞會危及國家安全，這也是他為何選擇站出來的原因。Zatko：「我認為推特是世界上重要的資源，它是一個極度重要的平台。」 

Zatko 在提出訴訟後，接受華盛頓郵報、CNN 訪問。華盛頓郵報表示，儘管 Zatko 沒有透露具體內容，但吹哨文件內容可能會影響推特公司的合規與財務狀況，以及特斯拉創辦人馬斯克之間的停止收購訴訟。

若 Zatko 的指控屬實，推特恐將面臨數億美元的罰款。 

Zatko 爆料內容

根據華盛頓郵報取得的內容，Zatko 控訴：

• 推特是一間陷入內鬨、混亂無章缺乏領導的公司，無法保護包含政府機構、國家元首以及其他影響力人物的 2.38 億日常用戶
• 推特違反與聯邦交易委員會的協議，未能保障平台資訊安全 (註：因 2009 年駭客兩度取得推特管理控制權)
• Zatko 表示，推特有一半的伺服器運行者過時且易受攻擊的軟體，高層更隱瞞了違規的數量與用戶數據缺乏保護的事實
• 推特重視用戶成長，將垃圾訊息問題擺在後面。
• 7000 名員工有半數都可以使用關鍵系統，可以取得用戶的敏感資訊
• 推特是分享新聞與抗議活動的重要工具，但它也成為政府打擊異己的目標。印度政府要求推特雇用一名政府代理人，他也因此可以大量取得敏感數據
• 未能實際因應用戶要求刪除用戶數據
• 推特也沒有能夠有效處理假資訊的人才
• Zatko 任職期間僅與 Jack Dorsey 有過六次一對一通話，並少於 30 分鐘，全年 Jack Dorsey 對他說不到五十個字
• 全公司有數千台筆電具有推特代碼的完整副本，駭客若接管，將可輕鬆造成破壞
• 推特刻意誤導董事會，掩蓋資安問題

被推特辭退，官方：刻意造成傷害

2020 年推特遭駭客入侵，盜用多位名人帳號要求加密貨幣贈款。時任推特執行長的 Jack Dorsey 雇用他來管理資訊安全，直到 2022 年 1 月被解僱。

推特回應媒體表示，六個月前 Zatko 因表現不佳與領導能力問題被推特解僱，就目前推特可以看到的指控來說，有許多非事實與不準確的地方，同時也缺乏重要的背景說明，認為他僅是為了獲得注意力，卻傷害了推特及其用戶與股東。

不過，Zatko 表示，是在 Jack Dorsey 於去年 11 月卸任後，因為 Zatko 告訴董事會推特無法好好保護用戶敏感資訊時，被新任的執行長 Parag Agrawal 解僱。除此，支持 Zatko 的吹哨者組織也強調，Zatko 的吹哨動機單純，與特斯拉訴訟無關聯，也沒有私下聯繫。

Zatko 說道：「我仍然相信這是一個巨大的平台，存在巨大的價值和巨大的風險，我希望回首過去，世界會因為這次事件而變得更美好。」