吹哨人向參議員報告推特安全漏洞

吹哨人向參議員報告推特安全漏洞

美國聯邦參議員在週二（9月13日）的聽證會上表達了對推特（Twitter）前安全負責人的共情，他在這場聽證會上概述了對這個有影響力的社交媒體平台的深切擔憂。

皮特·“馬吉”·扎特科（Peiter “Mudge” Zatko） 在參議院司法委員會作證時說：“如果門沒有上鎖，不管誰有鑰匙都沒意義。而且這種漏洞並不是抽象的。 說公司的某一名員工可以控制這個房間裡所有參議員的賬戶，其實也不為過。”

他還說：“考慮到用戶和國家安全面臨的切實傷害，我認為有必要冒著我和家人的個人及職業風險，來成為吹哨人。”

接到傳票而在聽證會上作證的扎特科補充說，他披露這些信息並不是“出於惡意或旨在傷害推特”。

扎特科此前在向美國證券交易委員會和其他美國政府監管機構提交的長達84頁的投訴中披露了一些信息，他表示對高管的獎勵措施促使推特高管將利潤置於安全之上。

扎特科對參議員說：“（推特）有一種文化，就是對上級報喜不報憂。”

參議院司法委員會主席、民主黨參議員迪克·德賓（Dick Durbin）指出，依照扎特科的說法，“那個保險庫的大門是敞開的，而且保險庫包含的關於你的信息比你想像的要多得多。”

來自民主黨和共和黨的幾位參議員對推特的漏洞可能構成國家安全威脅表示擔憂。

委員會中的首席共和黨參議員查克·格拉斯利（Chuck Grassley）說：“這些數據是信息的金礦，可以被用來損害美國的利益。 推特有責任確保數據受到保護，並且不會落入外國勢力手中。”

共和黨參議員林賽·格雷厄姆（Lindsey Graham）說：“你今天的證詞證實了我們大多數人認為已經失控的流程，監管環境不足以完成任務。是時候在我們國家實行改進了。”

格雷厄姆說，他正在與民主黨參議員伊麗莎白·沃倫（Elizabeth Warren）合作，建立一個真正有“牙齒”、也就是有實際執行力度的監管體系，類似於歐洲已經制定的體系。

參議院司法委員會的民主黨人理查德·布盧門薩爾（Richard Blumenthal）說：“我沒有得出任何結論，但顯然我們現在正在做的事情是行不通的。” 布盧門薩爾提出了建立一個新的政府機構來監管科技公司和保護消費者的可能性。

另一位民主黨參議員廣野慶子（Mazie Hirono）似乎對推特沒有被追究責任而感到憤怒，儘管它已因違反與聯邦貿易委員會之間的關於保護用戶數據的同意令而支付了1.5億美元的罰款。

她問扎特科：“有人需要進監獄嗎？”

他回答說：“我認為問責是一個好的開始。”

扎特科曾是一名備受矚目的計算機黑客，後來成為國防部研發機構國防高級研究計劃局（DARPA）的網絡安全研究負責人，他後來到谷歌（Google）工作，然後於2020年加入推特。扎特科還作證稱，有來自中國、印度、尼日利亞的疑似外國特工在推特內部工作，而且無法追踪他們對公司數據庫的訪問，包括那些包含用戶個人信息的數據庫。

扎特科說，當他向另一位推特高管提出他對公司內部某個疑似外國特工的擔憂時，這位高管回答說：“好吧，反正我們已經有了一個（外國特工），如果再有更多，又有什麼關係呢？”

據推特公司發言人說，推特的招聘流程不受任何外國影響，公司通過背景調查、訪問控制以及監控與檢測的系統和流程等措施，對數據訪問進行管理。

這位拒絕公開身份的推特公司發言人回應美國之音說：“今天的聽證會只是證實了扎特科先生的指控充斥著前後矛盾和不準確的地方。” 但他沒有詳細說明。

推特首席執行官帕拉格·阿格拉瓦爾（Parag Agrawal）拒絕自願出席週二的聽證會。德賓和格拉斯利告訴記者，他們將討論是否發出傳票以迫使這位高管出席。

扎特科的律師亞歷克西斯·羅尼克赫（Alexis Ronickher）在聽證會後的一份聲明中說，扎特科“依然相信，通過這一公開披露程序，或許可以避免對推特用戶造成現實世界中的傷害，並更好地保護我們國家的國家安全。”

在扎特科作證後，推特宣布其股東已批准特斯拉(Tesla)首席執行官埃隆·馬斯克（Elon Musk）提出的440億美元的收購要約。但是，這位億萬富翁在出價後又終止了協議，指責推特虛報真實用戶的數量。推特已提出反訴，此案定於下個月在特拉華州的衡平法院審理。

特拉華州的一名法官上週裁定，馬斯克在針對推特提出的訴訟中可以納入扎特科的說法。

吹哨人向參議員報告推特安全漏洞