推特前資安長：推特IT管理落後10年、4000名員工可存取用戶資料、無法追查到外國情報員

推特前資安長Peiter Zatko繼上個月透過媒體揭露這家社交平臺的資安管理問題後，昨（13）日又在美參議院聽證會上爆出推特沒有測試環境、資訊管理落後，4000名工程師可以存取用戶資訊等驚人內幕。他也指出推特員工中有包括印度及中國的情報員，但他們當時追查不出來。

外號為Mudge的Zatko 2020年加入推特擔任資安長一職，但今年1月遭推特炒掉。他說是此舉是公司對他試圖揭發平臺漏洞的報復行為。這次聽證會也是他第一次出現公眾媒體前。

Zatko這次爆料內容，大致上和上個月對《華盛頓郵報》揭露的資訊雷同。他指出的問題包括資安管理混亂，他們不知道特定資料儲存在哪、或從哪來，因此無從做好資料防護，或是在用戶提出要刪除帳號時刪除用戶資料。他也提及在他任職資安長期間，就發現公司員工中有來自外國的情報員，像是印度以及至少一名替中國國家安全部工作的情報員。

不過這次聽證會也有些新資訊。例如在被問及這些情報員能存取什麼資料時，Zatko指出，和許多公司不同的是，推特沒有所謂測試環境，一些新功能，都是直接在生產環境，利用線上資料部署。另外，推特資料散布在很多系統，但公司沒有資料存取控管政策，也因此，只要是工程師就能存取幾乎所有系統，取得線上資料。

他在回答另一名參議員的詢問時指出，推特4000名工程師，可以存取平臺任何用戶線上資料，包括IP位址、即時位置、必要時也能假扮用戶，在對話中插入資料。雖然公司對工程師存取用戶資訊有基本資安要求，但他相信並沒有嚴格執行。

Zatko點出，這家社交平臺的IT管理幾乎比同業落後至少10年。除了不知道資料儲存在哪外，當他們被外界告知員工中有外國情報員時，IT部門甚至無法抓出是誰，因為推特沒有系統存取登入管理，不知道誰、何時存取了什麼系統，以及下載了什麼資料。因此推特並「不是不願，而是無法」揪出內賊。此外，他也提及董事會及公司高層無法掌握IT系統營運動態，因為該公司有一種報喜不報憂的文化，系統出事不會向上呈報，上面的人只會收到用戶成長的好消息。

對於推特對用戶資料管理之鬆弛，Zatko談及主管機關的介入很重要。他指出，美國當局如聯邦交易委員會（FTC）一次性的罰款對推特這種公司沒有嚇阻作用，他們會交罰款，但依然故我。他認為像法國主管機關CNIL對屢犯違規採取多次罰款，並像對臉書做出的營運限制才能達到制裁效果。