推特(Twitter)前任安全长札克(Peiter Zatko)以吹哨者身份举报,推特出现严重资安疏失及垃圾邮件(spam)问题。(美联社)
华盛顿邮报23日报导,推特(Twitter)前任安全长札克(Peiter Zatko)以吹哨者身份举报,推特出现严重资安疏失及垃圾邮件(spam)问题,对于黑客入侵毫无防御能力,却对联邦主管机关及公司董事会隐瞒。札克今年7月向美国证券管理委员会(Securities and Exchange Commission,SEC)、司法部及联邦贸易委员会(Federal Trade Commission,FTC)提交吹哨者检举报告,长达84页的检举报告删节版已经送交国会委员会。
曾经率领推特资安部门的札克在吹哨者报告中指出,推特内部管理无章、群龙无首,高层主管忙着内斗,但没有能力保护2亿3800万名每日用户的个资安全,用户当中不乏政府单位、国家元首以及具有高度影响力的公众人物。
札克指出,推特佯称拥有完整资安保护计划的作为,已经触犯11年前与联邦贸易委员会达成的和解协议。他指出,曾在推特内部提出警告说,公司服务器有半数使用着年代久远、易受攻击的软件,但高层主管对于曾经遭到黑客入侵次数、用户数据缺乏保护等事实,却刻意隐瞒,甚至看起来成绩亮丽的不重要数据图表呈交给董事会。
根据华盛顿邮报取得的札克检举报告,数以千计的推特员工迄今仍使用着防护功能薄弱的内部系统,导致这些年来经常发生黑客入侵的尴尬问题,其中包括多位知名人物的帐号遭骇事件,例如特斯拉(Tesla)创办人兼首席执行官马斯克(Elon Musk)、前总统欧巴马以及前总统川普。
检举报告中写道,推特把增加用户看得比打击垃圾邮件更重要,但恼人的垃圾邮件问题却让用户经验变得越来越差;高层主管凭着每日用户成长,可以拿到上看1000万元的红利,不必处理垃圾邮件问题。
札克在检举报告中点名推特首席执行官亚格拉沃(Parag Agrawal)今年5月的推特发文是“公然说谎”,在推文中声称推特正积极侦测并移除垃圾邮件。
札克接受华盛顿邮报专访时说,如今决定让真相公诸于世,只是先前在公司内部指出软件漏洞及资安问题的工作延伸。他说:“我觉得身负道德责任,踏出这一步并不容易。”
推特系统遭到黑客大规模入侵之后,札克在2020年底获得前任推特首席执行官多尔西(Jack Dorsey)聘用掌理资安部门。根据证券管理委员会的吹哨者检举规定,札克受到法律保护,得以避免遭到检举对象兴讼报复。