推特前安全主管扎特科(Peiter Zatko)新近的披露,对该平台服务的安全性、其识别和删除虚假账户的能力,以及其对用户、股东和联邦监管机构所作声明的真实性,提出了严肃的质疑。
黑客代号为“Mudge”的扎特科是一名受人尊敬的网络安全专家,在20世纪90年代首次崭露头角。后来他在五角大楼的国防研究局和谷歌担任高级职务。今年年初,他被推特解雇,理由是他“领导不力和表现不佳”。扎特科的律师称,有关指责是不符合事实的。
在周二(8月23日)被公开的一份披露内幕的投诉里,扎特科记录了他历时14个月、致力于改善推特安全性的尝试。包括加强系统安全、提高服务的可靠性、抵御外国政府特工的入侵,以及衡量和打击虚假 “机器人”账户等。
在一份就此作回应的声明中,推特称扎特科对事件的描述是“一种错误的叙述”。扎特科的批评主要有以下五点:
安全和隐私保护系统极不充分
2011年,在美国联邦贸易委员会对推特的用户隐私保护做法进行调查后,推特同意加强数据安全保护。扎特科指出,推特在这方面的问题不仅没有解决,反而日甚一日。
例如他在申诉中称,推特的内部系统允许过多员工访问他们工作中并不需要的用户个人数据,而这是一种极易导致滥用的情况。此外,在长达数年的时间里,推特还不断“挖掘”用户的电话号码、邮箱地址等个人数据,这些本应仅用于安全保护的信息,却被用来精准投放广告和市场营销。
压力之下整个服务系统可能瘫痪
投诉中最引人注目的一条是,声称推特的内部数据系统极为杂乱无章,而公司的应急计划非常不充分,以至于任何大范围的宕机或意外的关闭都可能使整个平台瘫痪。
令人担心的是,所谓“级联”的数据中心故障可能会迅速蔓延到推特脆弱的信息系统,扎特科称,“这意味着,如果所有中心同时下线,即使是短暂的,推特也不确定他们是否能将服务恢复正常。估计的停机时间可能是几周,也可能是到永久性的无法修复的故障。”
误导监管机构、投资者和马斯克
扎特科的投诉指出,特斯拉首席执行官马斯克的指责——推特管理层没有动力去准确统计系统中虚假账户普遍程度——是正确的。马斯克以440亿美元入股推特的收购纠纷,将于10月在美国特拉华州法院开庭。
“推特的高级管理层没有意愿去有效衡量机器人假账户的普遍程度”,投诉写道。扎特科指出,推特的高管们担心,对假帐户更准确的统计会损害公司的“形象和估价”。
受到心怀不满的员工左右?
扎特科称,在2021年1月6日美国右翼示威者冲击国会山事件发生之时,他曾担心一些支持暴乱者的推特员工会试图破坏这一社交平台。
当他了解到,保护平台的核心系统攻击是“不可能的”时,他的担忧就更加强烈了。“没有执行记录,没有人知道数据在哪里,以及它们是否是关键数据。而所有的工程师都对推特的核心功能有某种形式的重要访问权”。
外国政府轻易染指数据
投诉还指出,推特难以识别平台上外国代理人的存在,更不要说抵御了。例如,印度政府要求推特雇用据称是间谍的特定人员,鉴于推特内部松垮的安全管控,这些人有接触敏感数据的特殊权限。
扎特科还描述了另一种不透明的现象,涉及从身份不明确的“中国机构”收取资金,让后者获取可能危害到中国用户的数据访问权。