Twitter的前安全主管抱怨“令人震惊的”安全漏洞FTC),司法部提交了一份举报文件。在文件中,Zatko指责Twitter在其安全实践中存在“令人震惊”的漏洞,在安全、隐私和内容审核方面存在“严重缺陷”。他还认为,Twitter高管在联邦监管机构面前谎报了他们的安全能力。Zatko是一位知名黑客,他在2020年底被Twitter招募为安全部门负责人。几个月后,黑客劫持了包括乔拜登和埃隆马斯克在内的几位世界名人的推特账户。2022年1月,他在工作不到两年后被Twitter解雇。对于名人推特账号被盗一事,报道称黑客的手法非常简单。“黑客假装是Twitter的IT支持人员,打电话给一些员工并要求他们提供密码。一些员工受骗并提供了密码。而且由于Twitter的访问控制存在系统性缺陷,拥有凭据的黑客可以畅通无阻地侵入任何帐户。”推特否认了这些指控,称Zatko在一月份因领导不力和表现不佳而被解雇。Twitter表示,安全和隐私一直是Twitter的优先事项和长期目标。安全控制不佳,数据未加密《华盛顿邮报》报道称,Zatko今年早些时候向联邦贸易委员会、证券交易委员会和司法部提交了长达84页的投诉。代表Zatko的Whistleblower援助组织的律师JohnTye告诉哥伦比亚广播公司,“他非常担心,他冒着未来职业生涯的风险告诉监管机构、国会和公众他发现了什么。风险中的漏洞。”“他在Twitter上的发现与其他公司发生的事情不同,”Tye补充说,他的代号是Zatko的Mudge,之前曾在谷歌、Stripe和国防高级研究计划局工作。Zatko表示,Twitter的内部安全控制很差,该公司10,000多名员工中有多达一半可以访问敏感用户数据。数千名员工的电脑中存有完整的推特源代码副本,30%的员工电脑都关闭了自动安全更新和系统防火墙,还擅自开启了远程桌面访问。同时,推特没有员工电话管理系统。他还表示,推特在用户注销账户后并没有完全删除用户数据,在某些情况下推特已经失去了追踪信息的能力,因此推特误导了监管机构是否按要求删除数据。此外,Twitter的许多存储和处理用户信息的数据中心都不支持数据加密。根据2011年Twitter与FTC达成的和解协议,Twitter需要维护“全面的信息安全计划”,但Zatko表示,“Twitter从未遵守2011年与FTC达成的和解协议。”2020年,仅Twitter就发生了40多起安全事件,其中70%与访问控制有关。Zatko还声称Twitter雇佣了外国间谍,并援引美国政府消息人士的话说,“其中一名或多名雇员为另一家外国情报机构工作。”指控呼应了埃隆马斯克对平台被机器人接管的批评,称高管无法知道哪些账户是假的。投诉称Twitter无意或没有能力清理平台上的机器人和垃圾邮件账户,并且它用户个人身份信息管理不善,安全漏洞频发。今年早些时候,马斯克出价440亿美元收购Twitter,但在7月撤回了报价。不过,法律程序是否要求马斯克按照承诺完成收购,将在10月份进行判断。“无知是行政领导团队的常态,”Zatko在投诉中说。该公司甚至无法提供具体数量的垃圾邮件和机器人帐户。他声称负责网站完整性的团队不知道如何检测机器人账户,忙于内部闹剧,而且公司没有动力监管机器人账户。Zatko声称,Twitter使用但经常被禁用的内部验证方法每月可以击败多达1200万个机器人。投诉称,2021年,推特创建了一项奖金结构,员工可因短期增加盈利的每日活跃用户(mDAU)而获得高达1000万美元的奖励,但减少平台上的垃圾邮件并不是奖励的一部分。Twitter已告知监管机构,该平台的每日活跃用户中只有不到5%是机器人。然而,Zatko说这是一个谎言,因为mDAU指标旨在排除机器人和其他垃圾邮件帐户。美国参议院情报委员会发言人雷切尔科恩表示,该委员会已收到起诉书,并“正在安排会议进一步讨论指控的细节,我们将认真对待此事。”
