推特(Twitter)前資安主管扎特科(Peiter Zatko)13日在美國參議院聽證會上,指控推特公司內部有外國情報組織人員;也有美國參議員證實,美國聯邦調查局(FBI)發現該公司內部至少有1名中共特工潛伏,擔心用戶資訊可能遭竊取。
推特「吹哨人」、網路安全專家扎特科,綽號又稱「馬奇」(Mudge),他13日在美國參議院司法委員會作證,指控推特的網路防禦很脆弱,平臺資訊容易遭到「青少年、小偷及間諜」盜取,威脅用戶隱私。
推特的資料 根本沒上鎖
「我今天會在此,是因為推特領導層正在誤導大眾、議員、監管單位,甚至是推特自己的董事會」,扎特科表示:「他們不知道自己擁有什麼資料,這些資料存放在哪、來自哪裡等等,因此毫不意外的,他們根本無法保護這些資訊。誰擁有這些資訊的鑰匙一點也不重要,因為根本沒有鎖。」
扎特科還爆料,推特曾收到過來自美國政府的消息,警告公司內部有員工同時在為外國的情報局工作;而在聽證會上,參議員葛拉斯里(Chuck Grassley)也證實,FBI曾警告過推特公司的內部人員中,恐有中共間諜。
扎特科說,那些間諜來自中共的國家安全部,是中共主要的情報組織。推特約有4千名工程師具有取得公司資料的權限,因此外國的間諜也能取得用戶資訊和公司敏感資料,這些資料包括推特在特定區域審查平臺內容的計畫等。
他透露,推特公司的安全團隊曾接獲警告,指推特內部的人員名單中,至少有1名員工來自中共的國家安全部。而且間諜並非只來自中共,印度政府也成功將間諜安插進推特公司內部,且印度間諜有直接控制公司系統和取得用戶資料的權限。
不過推特發言人在聽證會上強烈駁斥說,「公司招聘過程不受國籍影響,且觀看平臺內的資料權限,是要透過背景調查和監控、檢測系統來進行管理。」
員工登入系統 每週遭數千次攻擊
扎特科還表示,推特員工的登入紀錄系統,每星期都會遭到數千次的駭客攻擊(攻擊並未成功),他認為這是資安的重大警告,但推特執行長亞格拉沃(Parag Agrawal)時任技術長時,並未派遣任何人去修補漏洞。
扎特科還說,推特缺乏公司內部的紀錄,顯示公司在建設和工程方面的落後,而工程師也沒有被賦予足夠能力,來將公司帶往現代化。
推特先前就曾因安全管控鬆懈而備受外界批評,該平臺最知名的安全漏洞事件發生在2020年,有名青少年不費吹灰之力就輕鬆控制數十名知名人物的帳號,其中包含美國前總統歐巴馬(Barack Obama)的帳號。
此外,推特也沒有完整了解所蒐集來的用戶資料。扎特科表示,推特蒐集到的資料包括:用戶手機號碼、用戶過去和現在使用的IP地址、過去和現在的電子信箱、用戶大致所在的地理位置,以及關於用戶使用裝置的細節,像3C產品型號和使用的語言等。
失竊用戶資料 恐成「影響戰」利器
扎特科認為,這些用戶個人資訊,可能會讓外國情報單位得以鎖定特定族群,同時也讓情報組織掌握,他警告,這些用戶資料可能會成為「影響戰」(Influence Operation)中的一大利器,在用戶未注意到的情況下左右他們。
他還說,這些資料可能會與曾被洩漏的資料相互結合,就像先前美國第二大醫療保險公司Anthem所洩漏的顧客個資。
扎特科批評,在規範科技公司方面,美國的聯邦機構未克盡職責,其中聯邦貿易委員會(FTC)無法落實2011年與推特共同協議的內容,且由於FTC只執行過一次性罰款,導致推特對於國外立法單位的害怕程度,甚至勝過FTC。
推特承認在2013~2019年間,曾要求用戶提供私人資訊來增加帳號的安全性,但同時也將那些私人資訊用於推送個人化行銷,在今年5月,推特答應支付1.5億美元(約新臺幣46.6億元),與FTC達成和解。
推特:吹哨者的指控不實
會後推特也聲明表示,公司聘用程序「獨立於任何外國影響力之外」,要取得這些資料也需要經過一連串程序,包括背景審查、管道控制等。推特一名發言人表示,該聽證會的內容,只是證實扎特科的指控充滿不實與矛盾。
投行韋德布希證券公司(Wedbush Securities)分析師艾夫斯(Dan Ives)指出,推特被指控僱用中共間諜,可能會對該公司的公共關係持續造成影響,投資人會要求知道更多真相。◇