著名駭客Zatko  如何顛覆最具影響力社群網站

在著名的馬斯克、推特收購案中有一位關鍵人物 – 推特前安全主管、駭客Peiter “Mudge”Zatko。作為擁有數億用戶的推特的「告密者」，他稱推特「落後於行業安全標準十多年」。

自從加入推特以後，Zatko 就開始鼓動推特的高層管理人員，解決他提到的「安全漏洞」。Zatko表示，推特信任太多可以訪問敏感用戶數據的員工，使其安全非常脆弱，外人可以利用其對平台造成嚴重破壞。他還提到，一名或多名現任推特員工，可能正在為外國情報機構工作，並會威脅到用戶數據和美國國家安全。

一開始，他只在推特內部提出他的擔憂，後來才在公開的告密者披露中提出。而他的警告顛覆了世界上最有影響力的社群網絡之一，還對馬斯克的推特收購案提出新的問題。在後來的作證中， 他也提到，這可能會危及他的事業和家庭。Zatko表示，他並非出於惡意或想傷害推特，但鑑於對用戶和國家安全的真正危害，他認為他有必要承擔成為告密者的個人和職業風險。

推特則是反駁了 Zatko 的指控，稱安全和隱私「長期以來一直是公司範圍內的首要任務」。 推特曾表示，他的披露「充滿了不一致和不準確之處」，並表示其為「虛假陳述」。 推特還試圖將 Zatko 描繪成一個心懷不滿的前僱員，是為了報復公司。

• 一直以來Zatko都致力於解決網路安全問題

根據CNN的報導，在過去的 30 年裡，一些與 Zatko 一起工作的人將他描繪成一個有原則的技術專家。他有化繁為簡能力，並熱切渴望解決問題，正如他在職業生涯的大部分時間裡所做的那樣。他們說，他的披露和他的為人是一致的。

美國國家安全局前計算機科學家、網絡安全諮詢公司 @stake 的 Zatko 同事 Dave Aitel 表示，Zatko這麼做並不是為了好玩，這對他沒有任何好處。而Whistleblower Aid 的創始人兼 Zatko 的律師 John Tye 也告訴 CNN，告密後能獲得的美國政府獎勵金並非Zatko考慮的因素。

事實上，Zatko致力於維護網路安全已經有很長的歷史。大約25 年前，他就曾警告過美國國會，網路之所以會不安全，有很大的一部分原因是因為，軟體和電子公司都「希望盡可能長時間地忽視問題，以減少成本」。

作為現今公司與外部研究人員合作修復軟體缺陷的成熟做法，他就曾加入了波士頓地區的駭客組織 L0pht，以駭入電腦系統，然後再與製造設備的公司合作的方式，解決安全問題。自 1990 年代以來就認識 Zatko 的 Cisco Security 首席戰略長 Dug Song 此前告訴 CNN，Zatko讓行業屈服於他的想法，L0pht 為如何以坦率、受人尊敬和可敬的方式維護網路安全，創造了一個模型。

現年 51 歲的Zatko也曾在五角大樓領導了一項頗具影響力的網絡安全項目，在Google的一個部門工作以開發尖端技術，幫助金融科技公司 Stripe 建立網絡安全團隊，並就如何抵擋網路上的安全漏洞，向美國立法者和官員提供建議Dug Song表示，駭客們實際上是有社會利益和影響力的。

• 解決推特網路安全是Zatko使命感

2020 年 11 月，當Zatko被聘用加入推特時，他以公共利益為出發點。當時，他表示，他會盡全力，公平地為公眾意見服務。但 Zatko 很快發現，在推特上完成這一使命將是一項挑戰。根據他的披露，結構性問題和錯誤的激勵措施，造成了推特許多問題，包括正確保護用戶數據、解決外國對平台的操縱，以及確保公司基礎設備的安全性等。

作為推特首席執行長Dorsey的繼任者Agrawal於 1 月，因為Zatko開始對公司的安全和隱私做法提出擔憂，以「表現不佳」為由解雇了Zatko。推特堅持Zatko 的欺詐指控是沒有根據的。而Zatko則稱他是因為披露而被開除的。

Zatko也告訴CNN，公開披露並非他的第一選擇，他已經用盡了他所有的內部選擇。他認為，在道德上，他有義務透過合法途徑、合法披露以進行追究，因為推特是一個至關重要的平台，他相信他的決定，也認為解決這些挑戰，對於其人民以及國家的安全來說都非常重要。（編譯 / 莊閔棻）

延伸閱讀：推特告密者將向國會作證  警告全球安全威脅

參考資料：CNN

瀏覽 673 次