吹哨人向参议员报告推特安全漏洞

美国联邦参议员在周二（9月13日）的听证会上表达了对推特（Twitter）前安全负责人的共情，他在这场听证会上概述了对这个有影响力的社交媒体平台的深切担忧。

皮特·“马吉”·扎特科（Peiter “Mudge” Zatko） 在参议院司法委员会作证时说：“如果门没有上锁，不管谁有钥匙都没意义。而且这种漏洞并不是抽象的。 说公司的某一名员工可以控制这个房间里所有参议员的账户，其实也不为过。”

他还说：“考虑到用户和国家安全面临的切实伤害，我认为有必要冒着我和家人的个人及职业风险，来成为吹哨人。”

接到传票而在听证会上作证的扎特科补充说，他披露这些信息并不是“出于恶意或旨在伤害推特”。

扎特科此前在向美国证券交易委员会和其他美国政府监管机构提交的长达84页的投诉中披露了一些信息，他表示对高管的奖励措施促使推特高管将利润置于安全之上。

扎特科对参议员们说：“（推特）有一种文化，就是对上级报喜不报忧。”

参议院司法委员会主席、民主党参议员迪克·德宾（Dick Durbin）指出，依照扎特科的说法，“那个保险库的大门是敞开的，而且保险库包含的关于你的信息比你想象的要多得多。”

来自民主党和共和党的几位参议员对推特的漏洞可能构成国家安全威胁表示担忧。

委员会中的首席共和党参议员查克·格拉斯利（Chuck Grassley）说：“这些数据是信息的金矿，可以被用来损害美国的利益。 推特有责任确保数据受到保护，并且不会落入外国势力手中。”

共和党参议员林赛·格雷厄姆（Lindsey Graham）说：“你今天的证词证实了我们大多多人认为已经失控的流程，监管环境不足以完成任务。是时候在我们国家实行改进了。”

格雷厄姆说，他正在与民主党参议员伊丽莎白·沃伦（Elizabeth Warren）合作，建立一个真正有“牙齿”、也就是有实际执行力度的监管体系，类似于欧洲已经制定的体系。

参议院司法委员会的民主党人理查德·布卢门萨尔（Richard Blumenthal）说：“我没有得出任何结论，但显然我们现在正在做的事情是行不通的。” 布卢门萨尔提出了建立一个新的政府机构来监管科技公司和保护消费者的可能性。

另一位民主党参议员广野庆子（Mazie Hirono）似乎对推特没有被追究责任而感到愤怒，尽管它已因违反与联邦贸易委员会之间的关于保护用户数据的同意令而支付了1.5亿美元的罚款。

她问扎特科：“有人需要进监狱吗？”

他回答说：“我认为问责是一个好的开始。”

扎特科曾是一名备受瞩目的计算机黑客，后来成为国防部研发机构国防高级研究计划局（DARPA）的网络安全研究负责人，他后来到谷歌（Google）工作，然后于2020年加入推特。扎特科还作证称，有来自中国、印度、尼日利亚的疑似外国特工在推特内部工作，而且无法追踪他们对公司数据库的访问，包括那些包含用户个人信息的数据库。

扎特科说，当他向另一位推特高管提出他对公司内部某个疑似外国特工的担忧时，这位高管回答说：“好吧，反正我们已经有了一个（外国特工），如果再有更多，又有什么关系呢？”

据推特公司发言人说，推特的招聘流程不受任何外国影响，公司通过背景调查、访问控制以及监控与检测的系统和流程等措施，对数据访问进行管理。

这位拒绝公开身份的推特公司发言人回应美国之音说：“今天的听证会只是证实了扎特科先生的指控充斥着前后矛盾和不准确的地方。” 但他没有详细说明。

推特首席执行官帕拉格·阿格拉瓦尔（Parag Agrawal）拒绝自愿出席周二的听证会。德宾和格拉斯利告诉记者，他们将讨论是否发出传票以迫使这位高管出席。

扎特科的律师亚历克西斯·罗尼克赫（Alexis Ronickher）在听证会后的一份声明中说，扎特科“依然相信，通过这一公开披露程序，或许可以避免对推特用户造成现实世界中的伤害，并更好地保护我们国家的国家安全。”

在扎特科作证后，推特宣布其股东已批准特斯拉(Tesla)首席执行官埃隆·马斯克（Elon Musk）提出的440亿美元的收购要约。 但是，这位亿万富翁在出价后又终止了协议，指责推特虚报真实用户的数量。 推特已提出反诉，此案定于下个月在特拉华州的衡平法院审理。

特拉华州的一名法官上周裁定，马斯克在针对推特提出的诉讼中可以纳入扎特科的说法。

转载自 美国之音中文网