在上月发给议员和监管机构的一份长达200页的披露文件中，推特（Twitter）前安全主管Peiter“Mudge”Zatko警告称，这家社交平台公司显然既没有动机，也没有资源来充分评估其平台上全部僵尸账号的规模。Zatko被描述为一名资深网络安全专家，在业界广受尊敬，他于7月向美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和美国司法部(DoJ)提交了这份举报。

(资料图)

为举报人提供法律援助的非营利组织“举报人援助”(Whistleblower Aid)证实了该举报信的真实性。

据CNN报道，Zatko声称推特还存在一系列其他的安全漏洞，但几乎没有采取任何措施来修复这些漏洞。CNN和《华盛顿邮报》最先看到了这些披露的信息。

在一份回应举报人投诉的声明中，推特发言人告诉NBC新闻，Zatko的说法是“错误的”，并补充说，Zatko被解雇是因为他表现出了“无效的领导和不佳的表现”。

哨子已经吹响

对于这起举报，一些专家就它不仅对平台用户意味着什么，而且对立法者应该如何回应发表了看法。

竞争企业研究所(Competitive Enterprise Institute)技术与创新中心主任Jessica Melugin解释说：“与我们从华盛顿听到的出于政治动机而针对‘大型科技公司’的言论和反垄断呼声相比，这些担忧——即用户安全和推特是否遵守了2011年联邦贸易委员会的同意令——是政府更应该采取行动的领域。”

Melugin认为，当涉及到社交媒体时，议员们应该更关注这些类型的问题，而不是反垄断和出于政治动机的言论。

“虽然我们还不知道这份报告的真实性，但这些是监管机构和立法者应该关注的问题，而不是拆分或削弱一些美国最成功的公司。”Melugin补充说。

本次举报最大的一个担忧是，推特在本质上误导了投资者和美国联邦贸易委员会，甚至淡化了该平台上的垃圾邮件和安全问题。

Cerberus Sentinel解决方案架构副总裁Chris Clements说：“在这种情况下，吹哨人本身的声誉立即为指控提供了合法性。”

“仅凭这些理由，我就认为这份报告值得认真关注。人们很容易认为推特这样的社交媒体网络是无足轻重的，但事实上，该平台的规模和近乎即时的交流速度使它们对社会产生了重大影响。”

Clements补充说，任何可能让恶意行为者滥用这些平台的漏洞都可能带来挑衅和冲突的风险，但也会成为外国(敌对)机构间谍活动的重要情报来源。

他补充说：“尽管如此，独立验证举报内容的规模和影响，以充分了解情况是至关重要的，而且人们还要明白，在任何大型组织中，几乎肯定都存在一些网络安全漏洞和风险，而要完全消除这些漏洞和风险是非常具有挑战性的。当今世界的有效防御需要从组织的最高层开始采用一种真正的网络安全文化。有报道称，推特前首席执行官杰克·多尔西过去就网络安全发表的声明令人担忧，而这些声明可能解释一些指控被曝光的原因。”

安全松懈

尽管这家社交媒体平台试图为用户描绘一幅美好的画面，并经常鼓励用户采用更好的安全实践，包括多因素认证，但其内部安全却存在严重问题。据这份举报称，该平台仅在2020年就发生了大约20起入侵事件，而推特却未能优先删除垃圾或僵尸账户。

此外，Zatko还声称，推特从未真正遵守其在2011年与联邦贸易委员会达成的保护用户个人信息的协议；与此同时，它也未能监测到“内部威胁”，包括那些可能利用其职位窃取信息的雇员或承包商。

“这凸显出将安全问题仅仅视为技术问题会在多大程度上注定招来失败。网络安全政策和实践需要得到包括董事会和领导层在内的全公司的大力支持。如果举报人的指控是真实的，那么对推特的领导层来说，安全问题充其量只是他们的马后炮。”网络安全公司ExtraHop的首席执行官Patrick Dennis说。

Dennis补充说：“这(也)为埃隆·马斯克收购推特竞标期间所暗示的问题提供了新的线索：推特平台本身有严重的漏洞，而该公司根本没有认真对待。”在马斯克收购推特的交易过程中，推特拒绝提供该平台上的僵尸账号的相关数据，最终导致马斯克退出收购，而且理由很充分。这些僵尸账号不仅被一些国家用于网络间谍活动和数字黑材料，它们还被用于社交构陷，迫使用户点击恶意链接，以及从事其他不安全的在线行为。考虑到推特拒绝以任何实质性的方式承认或处理僵尸账户的问题，他们不愿意解决涉及用户隐私和安全的其他主要安全问题就一点也不奇怪了。”

口哨吹过头了?

这些指控不太可能被淡忘，它可能还会影响到所有的社交媒体。

KnowBe4的安全意识倡导者Javvad Malik表示：“这些指控肯定会对推特产生长期影响，而且可能还会对其他社交媒体平台管理其平台安全的方式产生影响。”

Malik说：“‘Mudge’是网络安全领域长期以来备受尊敬的人物，虽然看起来他似乎与推特首席执行官Parag Agrawal存在个性方面的冲突，但这些冲突不应该影响已经相当严重的安全问题。事实是，在社交媒体机构成立之初，它们根本不可能预见到自己会对个人、组织、政府乃至整个世界产生巨大影响。因此，像推特这样的公司需要关注并投资于网络安全和隐私控制，以确保其权力不被滥用。为此，该公司需要培养和建立一种内部安全的文化，在这种文化中，弱点是可以公开讨论的，而不是把它们藏起来。”

这次的举报肯定会产生持久的影响，但目前还不清楚它在短期内会如何影响推特。

“就推特将面临的后果而言，我预计欧盟的监管机构将非常热衷于了解消费者数据在该公司是如何被错误管理的。预计加州也会根据《2018年消费者隐私法》进行类似的调查。但我认为更值得关注的是，联邦当局将如何对待推特员工为外国情报机构工作的指控。长期以来，人们一直猜测科技公司的部分员工是被民族国家政府安插进去的。如果这是真的，那么它可能会带来围绕雇佣行为的更多审查。”

本文作者为福布斯撰稿人，文章内容仅代表作者本人观点。