前安全主管「吹哨」 舉報Twitter漏洞
《華盛頓郵報》及美國有線新聞網絡(CNN)周二(23日)報道,社交平台Twitter前安全主管扎特科(Peiter Zatko)向美國當局「吹哨」,舉報公司在對抗黑客入侵,以及打擊虛假垃圾用戶及資訊的能力與所為,存在「極端且駭人聽聞的漏洞」,卻誤導董事局以至聯邦監管機構。他又指數以千計員工在缺乏監管下可接觸公司核心數據,而公司系統安全性低致用戶個人資料易被黑客盜取或遺失,稱管理層為追求用戶增長及收益,故意忽視問題,而相關漏洞更易受中國、俄羅斯等外國政府利用。Twitter回應稱指控不實,旨在損害公司形象。
扎特科7月向美國證券交易委員會(SEC)、司法部及聯邦貿易委員會(FTC)提交舉報文件,《華郵》取得轉交多個國會委員會的84頁刪節版本,內容指控Twitter針對2011年與FTC協議的合規進展落後,只有一成的公司項目確保新編碼沒有危險錯誤。扎特科稱他加入Twitter後,加派人手處理涉騷擾及恐嚇等積壓的100萬宗安全問題個案,將數目減至20萬宗。扎特科原為著名黑客,外號「Mudge」。他早年任職網絡安全智庫,1998年曾參與美國國會聽證,警告當年互聯網易受黑客入侵,此後曾任職美國政府,以及Google高管,2020年獲延攬加入Twitter。
指公司運作利俄中間諜滲透
在文件中,扎特科指出Twitter多個嚴重安全問題,除約30%公司電腦自動阻隔修復更新,為黑客入侵提供漏洞外,扎特科入職早期便警告管理層,公司多個數據中心重複癱瘓會令伺服器無法正常重啟,最嚴重可導致Twitter數月無法提供服務,甚至遺失用戶資料等全部數據。舉報文件亦稱,Twitter約7000名全職員工當中,近半可在缺乏監察下,存取公司內部核心軟件,令他們可接觸敏感數據,並改變平台服務的運作模式。他在舉報書中指這誘使俄羅斯及中國等外國政府聘請Twitter員工當內部間諜,威脅美國國家安全,其中稱公司接受「中國個體」資金,讓其可查閱中國國內非法「翻牆」瀏覽及使用Twitter人士的資料,形容管理層「明知有風險,卻置中國用戶於危險之中」。
Twitter發言人回應指扎特科的指控不實,「投機尋求傷害Twitter公司、股東及其客戶」,又表示扎特科今年1月已因「表現和領導欠佳」被辭退,另強調「全面謹遵」美國當局的規定和方向打擊虛假和垃圾資訊。
(華盛頓郵報/CNN/BBC/衛報)
