HYGO: 推特举报人国会听证:一半的推特员工可进入参议员的帐户!
Kennedy to whistleblower: half Twitter employees have access to Senator Grassley’s account! 9/13/2022
Facebook US registered user community with high engagement comments
2022 年 9 月 13 日,推特前网络安全负责人 Peiter "Mudge" Zatko 在参议院听证会上作证,他声称该公司存在重大安全漏洞和疏忽。
这位网络安全资深人士在 8 月首次公开的举报人投诉中详细说明了一系列安全问题,包括该公司在 2020 年大约每周遭受一次重大违规行为,并且几乎没有针对所谓的内部威胁提供保护,其中公司容易受到自己员工的攻击。
肯尼迪:扎特科先生给我 30 秒。好吧。格拉斯利参议员是 Twitter 上的活跃用户。我将以他的帐户为例。给我 30 秒时间,了解 Twitter 拥有的有关格拉斯利参议员或像他这样的人的信息类型。
Zatko:电话号码是多少?他们连接的最新 IP 地址是什么?他们是否连接了其他 IP 地址?这是当前的电子邮件吗?他们在帐户中使用该电子邮件有多久了?来自 IP 地址的之前的电子邮件是什么?我们认为他们住在哪里?我们认为它们现在与哪里有关?他们是否仍然连接,即使他们没有积极使用信息,他们连接的是什么类型的设备?他们使用什么类型的网络浏览器?可能是哪个牌子?哪台电脑,他们用什么语言连接的?
肯尼迪:让我再试一次。我一定会明白的。好的。我不是想从你的证词中欺骗你。我知道 Twitter 的一半工程师和一半员工都可以访问格拉斯利参议员的账户,对吗?
Zatko:根据我在技术上看到的,是的。好的。
肯尼迪:如果他们进入参议员格拉斯利的账户,Twitter 不知道工程师已经这样做了,对吗?
Zatko:很难找到显示我理解的日志。正确的。
肯尼迪:所以你没有登录和注销系统。
Zatko:我很难找到哪些工程师登录了哪些系统以及他们访问了哪些数据。
肯尼迪:好的。所以这个工程师,他可以偷偷进入参议员格拉斯利的账户并获得所有这些信息 Twitter 不知道他到底是什么,那个工程师会做什么?什么?该信息做到了。因此,例如,经过精心设计的 Twitter 可以出售它,不是吗?
Zatko:可以出售访问权限。我在地下论坛上看到过许多提供此类访问权限的帐户,无论这些访问权限是否有效,但我也看到了出售帐户访问权限、删除帐户、解禁帐户的提议。出色地,
肯尼迪:那个工程师可以打电话给他的一个朋友说,嘿,你不喜欢格拉斯利参议员。让我在这里给你一些信息。而且,你可能想用它来对付他。那个工程师能做到吗? Twitter 会知道工程师已经这样做了吗?
扎特科:不一定。
肯尼迪:现在多西先生知道这一切了吗?
Zatko:我确实向 Dorsey 先生解释了这一点。我的理解是,他在带我进来之前并不了解这一点。这也是他想要的原因之一。
肯尼迪:他现在明白了吗?
Zatko:我相信看到这里之后,
肯尼迪:你的首席执行官呢?他明白这点吗?
Zatko:我相信自从他在那里工作了 10 年以来,他在工程领域的地位不断上升,他与工程师和他进行了交谈,他们告诉了......我相信是的
肯尼迪:好的。你有一位万事达卡的高管,万事达卡的 Mimi Alemayehou。这位董事会成员知道吗?
Zatko:我不知道她是否知道。
肯尼迪:这是一个理性的董事会成员会询问的事情吗?
Zatko:我会这么认为,但我也看到提交给董事会的内容不具有代表性
肯尼迪:在你在那里的时候,董事会有没有问过
Zatko:董事会没有直接问这些,没有。
肯尼迪:即使在与外国特工的所有这些问题之后,
Zatko:我在董事会会议期间不在场。
肯尼迪:就坐在那里?
Zatko:他们专注于其他话题
肯尼迪:对吧?李博士,他是斯坦福大学的教授。他知道这一切吗?
Zatko:同样的反应。当我……时,我没有看到关于这个特定主题的任何问题。
肯尼迪:帕特里克·皮切特。
Zatko:Patrick Pichette 是那个,当我提到这个例子时,他一发不可收拾。他非常沮丧。他做到了。
肯尼迪:他修好了吗?
Zatko:不。他要求提供后续信息,然后……
肯尼迪:为什么 Twitter 没有解决这个问题?
Zatko:还有其他优先事项。
肯尼迪:是钱的问题。不是吗?
Zatko:这是关于任何危机和其他优先事项。
肯尼迪:要解决这个问题需要花钱。不会吗?
Zatko:它会分散对其他优先事项的关注。
肯尼迪:让他们花钱。不会吗?
Zatko:很可能,是的。是的。
肯尼迪告密者:一半的 Twitter 员工可以访问参议员格拉斯利的账户!