今年初遭推特解雇的前資安長Peiter Zatko在美國參議院聽證會上,揭發推特內部IT管理問題。(圖片翻攝自SenChuckGrassley on YouTube)

推特前資安長Peiter Zatko繼上個月透過媒體揭露這家社交平臺的資安管理問題後,昨(13)日又在美參議院聽證會上爆出推特沒有測試環境、資訊管理落後,4000名工程師可以存取用戶資訊等驚人內幕。他也指出推特員工中有包括印度及中國的情報員,但他們當時追查不出來。

外號為Mudge的Zatko 2020年加入推特擔任資安長一職,但今年1月遭推特炒掉。他說是此舉是公司對他試圖揭發平臺漏洞的報復行為。這次聽證會也是他第一次出現公眾媒體前。

Zatko這次爆料內容,大致上和上個月對《華盛頓郵報》揭露的資訊雷同。他指出的問題包括資安管理混亂,他們不知道特定資料儲存在哪、或從哪來,因此無從做好資料防護,或是在用戶提出要刪除帳號時刪除用戶資料。他也提及在他任職資安長期間,就發現公司員工中有來自外國的情報員,像是印度以及至少一名替中國國家安全部工作的情報員。

不過這次聽證會也有些新資訊。例如在被問及這些情報員能存取什麼資料時,Zatko指出,和許多公司不同的是,推特沒有所謂測試環境,一些新功能,都是直接在生產環境,利用線上資料部署。另外,推特資料散布在很多系統,但公司沒有資料存取控管政策,也因此,只要是工程師就能存取幾乎所有系統,取得線上資料。

他在回答另一名參議員的詢問時指出,推特4000名工程師,可以存取平臺任何用戶線上資料,包括IP位址、即時位置、必要時也能假扮用戶,在對話中插入資料。雖然公司對工程師存取用戶資訊有基本資安要求,但他相信並沒有嚴格執行。

Zatko點出,這家社交平臺的IT管理幾乎比同業落後至少10年。除了不知道資料儲存在哪外,當他們被外界告知員工中有外國情報員時,IT部門甚至無法抓出是誰,因為推特沒有系統存取登入管理,不知道誰、何時存取了什麼系統,以及下載了什麼資料。因此推特並「不是不願,而是無法」揪出內賊。此外,他也提及董事會及公司高層無法掌握IT系統營運動態,因為該公司有一種報喜不報憂的文化,系統出事不會向上呈報,上面的人只會收到用戶成長的好消息。

對於推特對用戶資料管理之鬆弛,Zatko談及主管機關的介入很重要。他指出,美國當局如聯邦交易委員會(FTC)一次性的罰款對推特這種公司沒有嚇阻作用,他們會交罰款,但依然故我。他認為像法國主管機關CNIL對屢犯違規採取多次罰款,並像對臉書做出的營運限制才能達到制裁效果。

熱門新聞

Advertisement