Twitter前資安主管現身吹哨
據外媒報導,揭露 Twitter 內部問題的前資安主管Peiter Zatko,綽號又稱「Mudge」的吹哨者,於9 月 13 日在美國參議院司法委員會作證,指出 Twitter 公司內部有效力於外國情報組織的人員,且公司系統時常遭遇資安攻擊。
中國情報組織滲入Twitter內部
Zatko 在爆料文件中稱 Twitter 收到過來自美國政府的消息,警告公司內有員工同時在為外國的情報局工作,而在聽證會上參議員查克.葛雷斯(Chuck Grassley)證實,FBI 曾警告過 Twitter 公司人員中恐有中國間諜。
Mudge 說那些間諜來自中國的國家安全部,是中國主要的情報組織。Twitter 約 4000 名工程師都具有取得公司數據的權限,因此外國的間諜也能取得用戶資訊和公司敏感資料,這些資料包括 Twitter 在特定區域審查平台內容的計畫等。
我了解到公司的安全團隊曾被聯繫,並受知會Twitter 內部的人員名單中,至少有一名員工來自中國的情報組織之一,中共國家安全部。
另外,因 Twitter 也沒有仔細紀錄下員工對資料的取得紀錄,Mudge 說如此一來很難掌握確切有哪些數據已被外國間諜取得。
Twitter 員工之中的間諜並不只來自於中國,Mudge 指出印度政府也成功將間諜安插進公司內部,且印度間諜有直接控制公司系統和取得用戶數據的權限。
今年8月一名 Twitter 前員工收賄於沙烏地阿拉伯政府,去取得反政府用戶的數據後交給沙烏地阿拉伯政府,因此被判有罪。
坦承多年來隱瞞資安缺陷
Mudge 表示,Twitter 用來記下員工登入紀錄的系統,每星期都會遭受數千次駭客攻擊(攻擊並未成功),每日的攻擊次數高達 3000 次,Mudge 認為這是資安的重大警告,但 CEO 帕拉格·阿格拉瓦爾(Parag Agrawal)當時任職於技術長時,並未派遣任何人去修補漏洞。
Mudge 說,Twitter 缺乏公司內部的紀錄,顯示 Twitter 在建設和工程方面的落後,而工程師也沒有被賦予足夠能力,來將公司帶往現代化。
Twitter 並不完整了解其蒐集來的用戶數據。他指出公司蒐集到的數據包括:用戶手機號碼、用戶過去和現在使用的 IP 地址、過去和現在的 email、用戶大約所在的地理位址,以及關於用戶使用裝置的細節,像型號和使用的語言等。
Mudge 認為這些用戶個人資訊,可能會讓外國情報單位得以鎖定特定族群,同時也讓情報組織掌握, Twitter 對他們派遣過去的間諜了解多少。
Mudge 也警告這些用戶數據可能會成為影響戰(Influence Operation)中的一大利器,在用戶未注意的情況下左右他們。他還說這些數據可能會與曾被洩漏的資料相互結合,像先前美國第二大醫療保險公司 Anthem 所洩漏的顧客個資。
美國政府機關監督不周
Mudge 也指責美國的聯邦機構不適任規範科技公司,其中聯邦貿易委員會(FTC)無法確實得實施 2011 與 Twitter 共同協議的內容,且由於 FTC 只執行一次性罰款,Twitter 對於國外立法單位的害怕程度甚至勝過 FTC。
Twitter 承認在 2013 到 2019 年間,曾要求用戶提供私人資訊來增加帳號的安全性,但同時也將那些私人資訊用於推送個人化行銷,在今年 5 月, Twitter 答應支付 1 億 5000 萬元,與 FTC 達成和解。