Twitter的前安全主管在一份举报人的投诉中指控,Twitter的安全是一个巨大的混乱——但巨大的安全混乱在网络世界中太常见了。
他们的意思是:“当监管机构、媒体和该平台的用户不可避免地了解到Twitter严重缺乏安全基础知识时,他们会感到震惊,”刚刚被解雇的Twitter安全主管佩特·“马吉”·扎特科(Peiter“Mudge”Zatko)在一份打算在2月份提交给该公司董事会的报告中写道。
最重要的新闻是:扎特科向司法部、联邦贸易委员会和美国证券交易委员会提交的起诉书,在推特和埃隆·马斯克之间本已高风险的法律战场上产生了爆炸性的影响。
是的,但是:你不需要费力地寻找很多其他公司,它们会在Zatko应用于Twitter实践的那种基本审查中失败。
字里行间:Zatko在报告中指出的许多安全问题听起来令人瞠目结舌,但可能并没有超出常规太远。他发现:
- 超过一半的Twitter员工可以直接访问该服务的实时代码和数据;
- 30%的员工的电脑没有设置自动更新;
- 60%的数据中心服务器运行过时的操作系统;而且
- 推特“在过去一年中处理了大约50起事件”,主要是由于这三个“系统性风险领域”。
这些都不是好事。但是,一家研究不同在线服务和公司的公共在线基础设施,以找出它们对黑客的脆弱性的公司SecurityScorecard的研究结果表明,Twitter的网络安全策略可能是平均水平。
- 通常情况下,Twitter的得分在80分(满分为100分),与securitescocard衡量的行业内类似公司的得分相当,尽管该公司在上个月披露了一个安全漏洞后,得分最近有所下降。
- 记分卡是ba基于公开的信息,例如域名所有权,公司运营的服务器和这些服务器使用的IP地址——所以它依赖于不同种类的信息而不是Zatko所能访问的。
总体情况:Twitter的安全问题是长期存在的,自2011年以来,它一直在联邦贸易委员会(Federal Trade Commission)的同意令下运营,要求它提高游戏水平。
- Zatko的投诉让该公司陷入了困境联邦贸易委员会和立法者的工作人员的视线中 包括参议员查克·格拉斯利(爱荷华州共和党)的助手,他是参议院司法委员会的最高共和党人,他们已经得到了举报人的简报。Zatko的律师John Tye还告诉Axios,他一直在与co从上周开始的国会办公室。
扎特科的投诉也在评估中,考虑到推特与马斯克这场高风险且备受关注的法律之争中,哪一方会受益。
- 观察人士说,Zatko的安全警报和论点关于推特在衡量垃圾邮件和机器人方面的失误,似乎支持了马斯克对该公司的批评,但这是否有助于他的法律诉讼,推特违反了协议条款,就不太清楚了。
- 但扎特科的律师泰伊周二表示,扎特科在3月份就开始着手处理他的投诉,当时马斯克还没有告诉全世界他想收购Twitter。
这表明,扎特科的故事不是关于马斯克的诉讼,而是科技行业不断重复的一种经典的董事会模式。
- 在这种情况下,公司管理层邀请了一位高度信任和广受尊敬的专家加入其行列,帮助其清理内部——然后最终拒绝了这位专家的建议,并把他扫地出门。
亚历克斯·斯塔莫斯(Alex Stamos)于2015年加入Facebook担任首席安全官,并在2018年剑桥分析(Cambridge Analytica)丑闻后辞职。
- 在离开之前,他分享了一份备忘录,敦促公司改变方向。“我们需要倾听人们(包括内部人士)何时告诉我们某项功能令人毛骨悚然或指出我们所受到的负面影响。G的世界,”笔记继续写道。
- 斯塔莫斯离职后,Facebook表示不会更换他,并重新指派了安全人员公司的不同部门。
聪明点:斯塔莫斯的故事和扎特科的故事更像是平行的,而不是匹配的——斯塔莫斯在Facebook的内部冲突主要是关于对抗虚假信息,而不是日常的安全卫生。
- 但是,美国证券记分卡公司的首席技术官克里斯托斯·卡兰兹告诉Axios,在行业中,首席执行官与安全主管之间的竞争很常见。
- “安全需要工程上的关注,在很多高速增长的公司,新功能的速度和速度之间存在过度索引。‘让我们确保一切都尽可能安全,’”他说。
结论是:“这不是一夜之间发生的,”扎特科在他的报告中写道。“要达到Twitter目前的不安全状态,需要反复淡化问题,选择性报道,以及领导层对基本安全预期和做法的无知。”
另一方面:推特首席执行官帕拉格·阿格拉瓦尔发表声明称,扎特科被解雇的原因是“领导不力,表现不佳”,他的说法“到目前为止”是“充满矛盾和不准确的错误叙述”。
