Twitter資安主管爆料 隱瞞漏洞多年

杜聿鎧 2022/08/24 12:49 點閱 2668 次
Zatko援引Twitter內部報告指出,「每 10 台設備中有 4 台不符合基本安全標準」,根本無法保證員工是否成為資安破口。(Photo on Pxhere)
Zatko援引Twitter內部報告指出,「每 10 台設備中有 4 台不符合基本安全標準」,根本無法保證員工是否成為資安破口。(Photo on Pxhere)

【台灣醒報記者杜聿鎧綜合報導】資安問題消極處理,還誤導監管機構!Twitter前資安主管Zatko爆料,該公司垃圾郵件帳號處理消極、數千台筆電擁有Twitter原始碼,易產生資安漏洞,且該公司涉嫌以不實資料欺騙聯邦監管機構和董事會,甚至安插印度政府的代理人入後台。但Twitter發言人Rebecca駁斥,資安水準與同業一致。

隱瞞資安漏洞

華盛頓郵報》報導,Twitter前安全負責人 Peiter Zatko爆料,該公司高階主管針對資安防駭、打擊發送垃圾郵件的假帳號的能力上,涉嫌以不實資料欺騙聯邦監管機構和董事會。許多領導人都使用Twitter快速傳播重要訊息,帳戶若被盜易引發恐慌。過去美聯社帳號被盜所發布的白宮爆炸假消息,就導致了道瓊股市暴跌140點。

其中最嚴重的是Twitter違反過去因駭客事件,與聯邦貿易委員會簽訂的「確保資安」的和解條約,Zatko曾警告同事,公司至少有半數的伺服器太落後,且數千台筆電擁有Twitter原始碼,接通一台就容易有大規模的洩漏問題,高階主管卻隱瞞了資安漏洞,在報告時提供董事會「樂觀的前景」,掩蓋這些顯而易見的問題。

駁斥符合同業水準

Zatko向美國證交委員會、法務部等投訴信寫到,數千名的員工擁有廣泛且不受嚴密控管的核心軟體訪問權限,導致了多年來容易被駭的問題,且Twitter宣稱會更妥善嚴密的監測垃圾郵件假帳號,也是騙人的。

對此,Twitter發言人Rebecca駁斥,說自2020年來,公司廣泛加強安全措施,符合同業水準,且權限規定嚴明,況且Twitter每天刪除超過100萬個垃圾郵件帳戶。

但Zatko 投訴寫到,印度政府已迫使Twitter將一名代理人納入公司,在該國發生激烈抗議時可以查詢用戶資訊,且稱知情人士也同意此說法。投訴中亦寫到,「Twitter誤導性地暗示自己採用主動、複雜的系統來阻止垃圾郵件和帳號」,可「現實卻是個不受監管的簡單程式,加上工作過度、人手不足的團隊。」一些在職的員工也同意此說法。

員工成資安破口

CNN》報導,Zatko是一位知名的「道德駭客」(挑戰威權、保障自由的駭客),曾擔任Google和美國國防部資安部門主管。Zatko援引Twitter內部報告指出,「每 10 台設備中有 4 台不符合基本安全標準」,根本無法保證員工是否成為資安破口。

Zatko說,在俄烏戰爭前,Twitter時任首席技術官Agrawal向他提議遵守俄羅斯對平台的審查規範,在當地設分部並刪除當局認為的「非法內容」,儘管最後不被採納,卻也表明Twitter一心追求市場利益的跡象。