推特(Twitter)前任安全長札克(Peiter Zatko)以吹哨者身份舉報,推特出現嚴重資安疏失及垃圾郵件(spam)問題。(美聯社)
華盛頓郵報23日報導,推特(Twitter)前任安全長札克(Peiter Zatko)以吹哨者身份舉報,推特出現嚴重資安疏失及垃圾郵件(spam)問題,對於黑客入侵毫無防禦能力,卻對聯邦主管機關及公司董事會隱瞞。札克今年7月向美國證券管理委員會(Securities and Exchange Commission,SEC)、司法部及聯邦貿易委員會(Federal Trade Commission,FTC)提交吹哨者檢舉報告,長達84頁的檢舉報告刪節版已經送交國會委員會。
曾經率領推特資安部門的札克在吹哨者報告中指出,推特內部管理無章、群龍無首,高層主管忙著內鬥,但沒有能力保護2億3800萬名每日用戶的個資安全,用戶當中不乏政府單位、國家元首以及具有高度影響力的公眾人物。
札克指出,推特佯稱擁有完整資安保護計劃的作為,已經觸犯11年前與聯邦貿易委員會達成的和解協議。他指出,曾在推特內部提出警告說,公司伺服器有半數使用著年代久遠、易受攻擊的軟體,但高層主管對於曾經遭到黑客入侵次數、用戶數據缺乏保護等事實,卻刻意隱瞞,甚至看起來成績亮麗的不重要數據圖表呈交給董事會。
根據華盛頓郵報取得的札克檢舉報告,數以千計的推特員工迄今仍使用著防護功能薄弱的內部系統,導致這些年來經常發生黑客入侵的尷尬問題,其中包括多位知名人物的帳號遭駭事件,例如特斯拉(Tesla)創辦人兼執行長馬斯克(Elon Musk)、前總統歐巴馬以及前總統川普。
檢舉報告中寫道,推特把增加用戶看得比打擊垃圾郵件更重要,但惱人的垃圾郵件問題卻讓用戶經驗變得越來越差;高層主管憑著每日用戶成長,可以拿到上看1000萬元的紅利,不必處理垃圾郵件問題。
札克在檢舉報告中點名推特執行長亞格拉沃(Parag Agrawal)今年5月的推特發文是「公然說謊」,在推文中聲稱推特正積極偵測並移除垃圾郵件。
札克接受華盛頓郵報專訪時說,如今決定讓真相公諸於世,只是先前在公司內部指出軟體漏洞及資安問題的工作延伸。他說:「我覺得身負道德責任,踏出這一步並不容易。」
推特系統遭到黑客大規模入侵之後,札克在2020年底獲得前任推特執行長多爾西(Jack Dorsey)聘用掌理資安部門。根據證券管理委員會的吹哨者檢舉規定,札克受到法律保護,得以避免遭到檢舉對象興訟報復。
