可用-安全-计算机

推特前安全主管控诉存在 “令人震惊的 “的安全漏洞

  • 浏览次数 12018
  • 喜欢 0
  • 评分 12345

据《华盛顿邮报》 8月23日报道,推特前安全主管Peiter Zatko向美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和司法部提交了一封举报文件。在文件中,Zatko控诉推特在安全实践中存在“令人震惊的”漏洞,在安全、隐私和内容审核方面存在“严重缺陷”。他还认为,推特高管在联邦监管机构面前谎报安全实力

Zatko是著名黑客,于2020年底被推特招揽担任安全部门主管。几个月后,黑客劫持了若干世界名人的推特帐户,包括乔·拜登(Joe Biden)和埃隆·马斯克(Elon Musk)。2022年1月,他被推特解雇,任职不到两年。

关于名人推特帐户被盗事件,举报文件中称,黑客的招数非常简单,“黑客假装是推特的IT支持,给一些员工打电话,要求他们提供密码。一些员工上当受骗并提供了密码,而且由于推特访问控制的系统缺陷,手持凭证的黑客可以畅通无阻,入侵任何帐户。”

推特否认上述指控,称Zatko今年1月是因领导不力和表现不佳而被解雇。推特称,安全和隐私一直是推特的优先事项和长期目标。

微信截图_20220824151946

安全控制差,数据未加密

《华盛顿邮报》报道,Zatko今年早些时候向联邦贸易委员会、证券交易委员会和司法部提出了申诉,申诉文件长达84页。

代表Zatko的“吹哨人”援助组织律师John Tye向哥伦比亚广播公司(CBS)表示,“他非常担心,以至于他冒着可能危及他未来职业生涯的风险,告知监管机构、国会、公众他所发现的漏洞的危害。”

“他在推特发现的东西与其他公司的情形都不一样,”Tye补充,Zatko的代号Mudge,他以前曾在谷歌、Stripe和国防高级研究计划局工作过。

Zatko称,推特的内部安全控制很差该公司1万多名员工中,有多达一半的人可以接触到敏感的用户数据。数千名员工的电脑包含推特源代码的完整副本,30%的员工电脑关闭了自动安全更新和系统防火墙,还未经批准启用了远程桌面访问。同时,推特没有员工电话管理系统。

他还表示,推特在用户注销帐户后没有完全删除用户数据,在某些情况下推特已经失去了对信息的追踪能力,因此推特在是否按要求删除数据方面误导了监管机构。此外,推特许多存储和处理用户信息的数据中心不支持数据加密。

根据推特2011年与联邦贸易委员会的和解协议,推特被要求维持一个“全面的信息安全计划”,但Zatko称,”推特从来没有遵守2011年与联邦贸易委员会的和解协议。”

“仅在2020年,推特就发生了40多起安全事件,其中70%与访问控制有关,”文件中写道。

除了控诉推特公司网络安全存在严重缺陷外,Zatko还表示印度政府强迫推特雇用其一名代理商。

Zatko还声称,推特公司雇用了外国间谍,他引用了一个美国政府消息来源的说法,即 “某位或多位雇员为另一个外国情报机构工作”。

无力清理平台垃圾账户

除了对安全松懈的指控,这项指控还呼应了埃隆·马斯克(Elon Musk)对该平台被机器人占领的批评,称高管们无法知道哪些账户是假的。

投诉中称,推特无意清理或没有能力清理平台上的僵尸和垃圾邮件账户,而且它对用户的个人身份信息管理不善,经常出现安全漏洞。

今年早些时候,马斯克曾出价440亿美元收购Twitter,但在今年7月撤回了收购要约。但法律程序上是否要求马斯克如约完成收购案,将在10月进行审判。

Zatko在投诉中称:“无知是高管领导团队的常态。”公司甚至无法提供垃圾邮件和机器人账户的具体数目。他声称,负责网站完整性的团队不知道如何检测机器帐户,忙于内部闹剧,公司也没有动力去管控机器帐户。

Zatko声称,Twitter使用的一种内部验证方法,但经常被禁用,每个月挫败了多达1200万个机器人。该投诉称,2021年,Twitter创建了一种奖金结构,员工可以获得高达1000万美元的奖金,以短期增加可盈利的日活跃用户(mDAU),但减少平台上的垃圾邮件并不在奖励范围内。

推特向监管机构表示,平台的日活跃用户中只有不到5%是机器人。然而,Zatko表示这是一个谎言,因为mDAU指标的设计已经排除了机器人和其他垃圾邮件账户。

美国参议院情报委员会发言人雷切尔·科恩(Rachel Cohen)说,委员会已经收到了起诉书,并“正在安排一次会议,进一步讨论指控的相关细节,我们会认真对待这件事。”


转自 FreeBuf,原文链接:https://www.freebuf.com/news/342774.html

封面来源于网络,如有侵权请联系删除