著名駭客Zatko 如何顛覆最具影響力社群網站
在著名的馬斯克、推特收購案中有一位關鍵人物 – 推特前安全主管、駭客Peiter “Mudge”Zatko。作為擁有數億用戶的推特的「告密者」,他稱推特「落後於行業安全標準十多年」。
自從加入推特以後,Zatko 就開始鼓動推特的高層管理人員,解決他提到的「安全漏洞」。Zatko表示,推特信任太多可以訪問敏感用戶數據的員工,使其安全非常脆弱,外人可以利用其對平台造成嚴重破壞。他還提到,一名或多名現任推特員工,可能正在為外國情報機構工作,並會威脅到用戶數據和美國國家安全。
一開始,他只在推特內部提出他的擔憂,後來才在公開的告密者披露中提出。而他的警告顛覆了世界上最有影響力的社群網絡之一,還對馬斯克的推特收購案提出新的問題。在後來的作證中, 他也提到,這可能會危及他的事業和家庭。Zatko表示,他並非出於惡意或想傷害推特,但鑑於對用戶和國家安全的真正危害,他認為他有必要承擔成為告密者的個人和職業風險。
推特則是反駁了 Zatko 的指控,稱安全和隱私「長期以來一直是公司範圍內的首要任務」。 推特曾表示,他的披露「充滿了不一致和不準確之處」,並表示其為「虛假陳述」。 推特還試圖將 Zatko 描繪成一個心懷不滿的前僱員,是為了報復公司。
- 一直以來Zatko都致力於解決網路安全問題
根據CNN的報導,在過去的 30 年裡,一些與 Zatko 一起工作的人將他描繪成一個有原則的技術專家。他有化繁為簡能力,並熱切渴望解決問題,正如他在職業生涯的大部分時間裡所做的那樣。他們說,他的披露和他的為人是一致的。
美國國家安全局前計算機科學家、網絡安全諮詢公司 @stake 的 Zatko 同事 Dave Aitel 表示,Zatko這麼做並不是為了好玩,這對他沒有任何好處。而Whistleblower Aid 的創始人兼 Zatko 的律師 John Tye 也告訴 CNN,告密後能獲得的美國政府獎勵金並非Zatko考慮的因素。
事實上,Zatko致力於維護網路安全已經有很長的歷史。大約25 年前,他就曾警告過美國國會,網路之所以會不安全,有很大的一部分原因是因為,軟體和電子公司都「希望盡可能長時間地忽視問題,以減少成本」。
作為現今公司與外部研究人員合作修復軟體缺陷的成熟做法,他就曾加入了波士頓地區的駭客組織 L0pht,以駭入電腦系統,然後再與製造設備的公司合作的方式,解決安全問題。自 1990 年代以來就認識 Zatko 的 Cisco Security 首席戰略長 Dug Song 此前告訴 CNN,Zatko讓行業屈服於他的想法,L0pht 為如何以坦率、受人尊敬和可敬的方式維護網路安全,創造了一個模型。
現年 51 歲的Zatko也曾在五角大樓領導了一項頗具影響力的網絡安全項目,在Google的一個部門工作以開發尖端技術,幫助金融科技公司 Stripe 建立網絡安全團隊,並就如何抵擋網路上的安全漏洞,向美國立法者和官員提供建議Dug Song表示,駭客們實際上是有社會利益和影響力的。
- 解決推特網路安全是Zatko使命感
2020 年 11 月,當Zatko被聘用加入推特時,他以公共利益為出發點。當時,他表示,他會盡全力,公平地為公眾意見服務。但 Zatko 很快發現,在推特上完成這一使命將是一項挑戰。根據他的披露,結構性問題和錯誤的激勵措施,造成了推特許多問題,包括正確保護用戶數據、解決外國對平台的操縱,以及確保公司基礎設備的安全性等。
作為推特首席執行長Dorsey的繼任者Agrawal於 1 月,因為Zatko開始對公司的安全和隱私做法提出擔憂,以「表現不佳」為由解雇了Zatko。推特堅持Zatko 的欺詐指控是沒有根據的。而Zatko則稱他是因為披露而被開除的。
Zatko也告訴CNN,公開披露並非他的第一選擇,他已經用盡了他所有的內部選擇。他認為,在道德上,他有義務透過合法途徑、合法披露以進行追究,因為推特是一個至關重要的平台,他相信他的決定,也認為解決這些挑戰,對於其人民以及國家的安全來說都非常重要。(編譯 / 莊閔棻)
延伸閱讀:推特告密者將向國會作證 警告全球安全威脅
參考資料:CNN
瀏覽 757 次