据CNN报道,其和《华盛顿邮报》独家获得的一份爆炸性的告密者文件披露,推特存在重大安全问题,对其用户的个人信息、公司股东、美国国家安全和民主构成威胁。这份投诉中有关机器人账户的内容,和马斯克的主张不谋而合,而后者正以此为理由希望解除对推特的收购。
这份文件是上个月发给美国国会和联邦机构的。它描绘了推特,一个管理不善的公司混乱的环境和鲁莽的行为,这家公司允许太多的员工在没有充分监督的情况下,查看平台的中央控制和最敏感的信息。它还声称,这家公司的一些最高层管理人员一直在试图掩盖推特的严重漏洞,并且有一名或多名现任员工可能在为外国情报机构工作。
这位同意公开身份的举报人是佩特·扎特科(Peiter Zatko),他曾是推特的安全负责人,直接向CEO汇报。扎特科还称,推特的领导层在其安全漏洞方面,误导了自己的董事会和政府监管机构,包括一些据称可能为外国间谍活动或操纵、黑客攻击和虚假信息活动打开大门的漏洞。
这位举报人还称,在用户注销账户后,推特并没有可靠地删除他们的数据,在某些情况下是因为推特失去了对这些信息的追踪,而且在是否按规定删除数据的问题上,它误导了监管机构。
他还说,推特高管没有足够的资源来充分了解平台上机器人的真实数量,也没有动力去了解。机器人账号最近成为埃隆·马斯克试图退出440亿美元收购推特交易的核心问题(尽管推特否认了马斯克的说法)。
扎特科在1月份被推特解雇,因为推特声称其表现不佳。据扎特科称,他公开举报是在他试图向推特董事会指出安全漏洞,并帮助推特解决多年来的技术缺陷和涉嫌不遵守与联邦贸易委员会签订的早期隐私协议之后。扎特科由举报人援助组织(Whistleblower Aid)代理,这个组织曾代理脸书举报人弗朗西斯·豪根。
举报人援助组织的创始人、扎特科的律师约翰·泰伊告诉CNN,扎特科没有与马斯克接触过,并说扎特科在有任何迹象表明马斯克参与收购推特之前,就开始了举报程序。
这篇文章最初发表后,马斯克的律师亚历克斯·斯皮罗告诉CNN:“我们已经对扎特科发出了传票,根据我们的发现,他和其他关键员工的离开令人好奇”。
CNN就有关披露的50多个具体问题向推特寻求评论。
在一份声明中,推特发言人告诉CNN,安全和隐私都是这家公司长期以来的优先事项。推特还表示,此公司为用户提供了明确的工具来控制隐私、广告定位和数据共享,并补充说,它已经建立了内部工作流程,确保用户知道当他们取消账户时,推特将停用账户并启动删除程序。推特拒绝透露它是否通常会完成这一过程。
推特公司的发言人说:“扎特科因领导不力和业绩不佳,于2022年1月被解除了在推特的高级职务。到目前为止,我们所看到的是关于推特以及我们的隐私和数据安全做法的错误叙述,其中充满了不一致和不准确之处,并缺乏重要的背景。扎特科的指控和投机的时机,似乎是为了吸引注意力,对推特、其客户和股东造成伤害。安全和隐私长期以来一直是推特的优先事项,并将继续如此”。
扎特科一些最严厉的指控,来自于他与推特CEO帕拉格·阿格拉瓦尔的明显紧张关系。他是公司前首席技术官,在杰克•多西去年11月辞职后出任CEO。根据披露的信息,阿格拉瓦尔和他的副手们一再劝阻扎特科,不要向公司董事会提供关于推特安全问题的全面说明。据称,高管团队指示扎特科,向董事会口头报告他对公司安全状况的初步发现,而不是提供详细的书面说明。他们命令扎特科故意精心挑选和选取歪曲事实的数据,以制造紧急网络安全问题取得进展的假象。并背着扎特科让第三方咨询公司刷新报告,以掩盖这个公司问题的真实程度。
披露的信息总体上对多西比较友好,他雇用了扎特科,扎特科认为他希望看到公司内部的问题得到解决。但它确实描述了他在领导推特的最后几个月里,极度缺乏参与感,以至于一些高级员工甚至认为有他可能生病了。
CNN已经联系了多西,要求他发表评论。一位熟悉扎特科在推特任职情况的人士告诉CNN,这家公司调查了他在被解雇前后提出的几项申诉,最终发现这些申诉没有说服力。这名人士补充说,扎特科有时对推特在美国联邦贸易委员会要求中所应承担的义务缺乏了解。
扎特科认为,他被解雇是为了报复,因为他对公司的安全问题发出了警告。
这份总长约200页的严厉的披露文件,包括支持性证据,上个月被送到了一些美国政府机构和国会委员会,包括证券交易委员会、联邦贸易委员会和司法部。这个披露文件和细节此前未被报道。CNN从国会的一位高级民主党助手那里获得了一份披露的副本。美国证券交易委员会、司法部和联邦贸易委员会拒绝发表评论。据参议院情报委员会发言人雷切尔·科恩称,这个委员会收到了报告的副本,正在认真对待这一披露,并正在安排一次会议讨论这些指控。
担任参议院司法委员会主席的迪克·德宾参议员也收到了这份报告,他声称要进行调查,“并根据需要采取进一步措施,查清这些令人震惊的指控的真相”。
同一小组的最高共和党人、热衷于推特的参议员查克·格拉斯利在向CNN发表的一份声明中,也对这些指控表示深切关注。
格拉斯利说:“作为一个收集大量用户数据的技术平台,将其与看似极其薄弱的安全基础设施结合起来,再加上外国政府特工在里面扮演的角色,这将导致一场灾难”。
他说,他是从一个推特吹哨人那里拿到的举报,这可能引起严重的国家安全问题以及隐私问题,必须对它们进行进一步调查。
检举人扎特科是谁?
1998年,扎特科就第一次引起整个国家的注意,当时他参加了国会关于网络安全的第一次听证会。
他在本月初的一次采访中告诉CNN:“在我的一生中,我一直在寻找我有所作为的地方。我已经通过安全领域做到了这一点,这是我的主要杠杆”。
导致他决定成为一名举报人的事件,开始于他在推特工作之前。2020年发生了一次毁灭性的黑客攻击,世界上一些最有名的人的推特账户被泄露,其中包括当时的总统候选人拜登、前总统奥巴马、金·卡戴珊和马斯克等。推特告诉CNN,为了应对这一事件,公司开始对客户支持工具的访问进行分隔。
黑客攻击发生后,时任推特CEO多西招募了扎特科,这位著名的“道德黑客”变成了网络安全内部人士和高管,他曾在谷歌、Stripe和美国国防部担任过高级职务。他告诉CNN,他在拜登政府刚成立时,就得到了一个高级的网络相关职位。
扎特科说,他所发现推特是一家安全状况极差的公司,包括让推特公司的数千名员工,进入这个平台的一些关键控制领域。这个数字大约相当于推特公司员工总数的一半。他的披露将总体发现描述为“恶劣的缺陷、疏忽、故意的忽视,以及对国家安全和民主的威胁”。
根据他的披露,在1月6日的国会叛乱之后,扎特科担心推特内部同情叛乱分子的人,可能会试图操纵这个公司的平台。他试图控制允许推特工程师对平台进行修改的内部访问权限,即所谓的“生产环境”。
但是,披露的信息称,扎特科很快了解到“他不可能保护推特的生产环境。因为所有工程师都有权限,没有记录谁进入了环境或他们做了什么….没有人知道数据在哪里,或者它是否是关键的,而所有工程师都有某种形式的对生产环境的关键访问权限”。
扎特科称,推特也缺乏让员工对信息安全失误负责的能力,因为它对员工的个人工作电脑,几乎没有控制权或能看见的可能性,他引用内部网络安全报告估计,10台设备中有4台不符合基本安全标准。
披露的信息称,推特脆弱的服务器基础设施是一个独立但同样严重的漏洞。根据给监管机构的信,和扎特科在2月份写给推特董事会成员帕特里克·皮谢特的电子邮件,这个公司50万台服务器中,约有一半运行在过时的软件上,不支持基本的安全功能,如存储数据的加密或供应商的定期安全更新。这些都包含在披露文件中。
扎特科在披露文件中说,这个公司还缺乏足够的冗余和程序,在崩溃后来重新启动或恢复数据中心,这意味着即使几个数据中心同时发生小故障,也可能使整个推特服务崩溃。
推特没有回应关于数据中心中断风险的问题,但告诉CNN,如果推特的工程和产品团队有具体的业务理由,他们就有权访问生产环境。推特补充说,员工使用的设备由其他IT和安全团队监督,如果设备运行过时的软件,他们有权阻止设备连接到敏感的内部系统。
这个公司还表示,它使用自动检查,以确保运行过时软件的笔记本电脑不能访问生产环境,而且员工只有在代码符合某些记录和审查要求后,才能对推特的实时产品进行修改。
据熟悉扎特科在公司任职情况的人士称,推特有内部安全工具,公司会定期进行测试,每两年由外部审计人员进行测试。这个人士补充说,扎特科围绕设备安全的一些统计数据缺乏可信度,是由一个小团队得出的,没有适当考虑到推特现有的安全程序。
但在2020年之前,推特的安全问题就已经暴露出来了。2010年,联邦贸易委员会对推特提出投诉,指控其对用户的私人信息处理不当,以及太多的员工可以接触到推特的中央控制系统。投诉的结果是FTC在第二年敲定了一项同意令,其中推特声称要整顿其行为,包括创建和维护“全面的信息安全计划”。
扎特科声称,尽管这个公司声称自己的情况与此相反,但它“从未遵守”联邦贸易委员会10多年前的要求。他说,由于它被指控未能解决联邦贸易委员会提出的漏洞以及其他缺陷,推特遭受了“异常高的安全事故率”,大约每周一次,严重到需要向政府机构披露。扎特科在1月份被推特解雇后,在2月份写给推特董事会的信中说:“根据我的专业经验,同行公司没有这种规模或数量的事件”。
扎特科的披露关系重大。据乔恩·莱博维茨称,如果推特被发现违反了其法律义务,它可能会导致数十亿美元的新罚款。在向推特最初发布2011年同意令时,莱博维茨是联邦贸易委员会的主席。
莱博维茨补充说,这个机构现在有另一个机会向科技行业表明,它对追究平台的责任是认真的,因为在2019年联邦贸易委员会与脸书达成的50亿美元隐私和解中,官员们选择不点名包括马克·扎克伯格和谢丽尔·桑德伯格在内的脸书高管。
莱博维茨在接受采访时告诉CNN:“在脸书违约案中,最大的失望之一是联邦贸易委员会让高管们脱身。如果有违规行为,这个可能性是很大的,他们本应被点名。我认为联邦贸易委员会应该非常认真地考虑,不仅要对公司进行罚款,还要对负责的高管进行处罚”。
推特告诉CNN,它的联邦贸易委员会合规记录是不言而喻的,它引用了根据2011年的同意令向这个机构提交的第三方审计报告,它说扎特科没有参与其中。推特还表示,它遵守了相关的隐私规则,而且它在努力修复其系统中的任何缺陷方面,对监管机构是透明的。
熟悉扎特科任期的人士告诉CNN,扎特科的指控部分是基于他没有掌握推特的现有程序和流程,是如何履行推特在联邦贸易委员会方面的义务的。他说,这种误解使扎特科对这个公司的合规程度提出了不准确的说法。
外国间谍在为推特工作
扎特科披露的信息称,推特特别容易被外国政府以破坏美国国家安全的方式利用,而且这个公司目前甚至可能有外国间谍在为其服务。
他说,美国政府在扎特科被解雇前不久向推特公司提供了具体证据,表明这个公司至少有一名员工,在为另一国政府的情报部门工作,也许更多。这个报告没有说推特是否已经知道,或者它是否随后根据这个线索采取行动。
扎特科指称,去年,在俄罗斯入侵乌克兰之前,时任推特首席技术官的阿格拉瓦向扎特科提议,推特应遵守俄罗斯的要求,这可能导致对这个平台进行广泛的审查或监控。
披露的信息没有提供阿格拉沃尔建议的细节。然而,去年夏天,俄罗斯通过了一项法律,要求科技平台在本国开设本地办事处,否则将面临潜在的广告禁令。西方安全专家称,此举旨在让俄罗斯对美国科技公司拥有更大的影响力。
扎特科说,虽然阿格拉瓦的建议最终被放弃了,但这仍然是一个令人震惊的迹象,表明推特愿意为追求增长而付出多大的努力。
扎特科的披露说:“推特的现任首席执行官,甚至建议推特成为普京政权的同谋,这一事实引起了对推特对美国国家安全的影响的担忧”。
扎特科的报告是在一名前推特经理,被判定为沙特阿拉伯从事间谍活动两周后公开的。
沙特的案件凸显了扎特科现在对推特的指控的严重性。他的报告可能会进一步激起华盛顿两党对外国对手,及其对美国构成的网络安全威胁的担忧,这些威胁包括盗窃美国公民的数据、操纵美国选民或窃取技术和商业机密。
推特没有回应有关被指控的外国情报漏洞的具体问题。
马斯克最想要的机器人账户信息
对马斯克来说,扎特科的披露是一个特别幸运的时刻,因为他正与推特公司就其试图退出收购这家公司打官司。马斯克指责推特在其平台上的垃圾机器人数量上撒谎,他声称这个问题应该让他终止交易。
虽然马斯克在4月与推特签署的具有约束力的收购协议中,没有包括任何与机器人账户有关的豁免,但这位亿万富翁声称,平台上的机器人账户数量影响了用户体验,因此,拥有比以前更多的机器人账户可能会影响公司的长期价值。
在马斯克提出终止收购后,推特公司以诉讼作为回应,指称他以机器人账户为借口摆脱交易,而在最近的市场低迷中,他现在对这笔交易感到后悔。推特要求法院迫使他完成交易。此案将于10月在特拉华州大法官法庭进行审判。
用户数量是任何社交媒体企业的重要信息,因为广告收入取决于有多少人可能看到广告。但是,由于操纵和错误,关于一项服务有多少用户数据,或者有多少人在网站上实际观看了某个广告,在整个科技和媒体行业中是出了名的不可靠。
在社交媒体公司中,推特向投资者和广告商报告其用户数量时,使用的是它所称的可盈利的每日活跃用户(mDAUs)。其竞争对手只是简单地计算和报告所有的活跃用户,直到2019年,推特也是这样做的。但这意味着推特的数据在某些情况下会有很大的波动,包括在清除主要的僵尸网络时。因此,推特改用mDAUs。根据扎特科的披露,推特说它计算所有可以在推特上显示广告的用户,所有因某种原因不能显示广告的账户,例如已知的机器人账户,都放在一个单独的类别里。
这个公司曾多次报告称,其mDAU中只有不到5%是虚假或垃圾账户,一位熟悉此事的人士本周向CNN证实了这一评估,并指出其他投资者披露的信息称,这一数字依赖于显著的人为判断,可能无法准确反映现实。但扎特科披露的信息认为,通过只报告机器人占mDAU的百分比,而不是占平台上账户总数的百分比,推特掩盖了这个服务中虚假和垃圾账户的真实规模,扎特科称此举是故意误导。
扎特科说,他在2021年初开始询问推特上机器人账户的普遍性,并被推特的网站诚信主管告知,推特公司不知道其平台上共有多少机器人账户。他声称,他从与诚信团队的对话中了解到,推特公司 “没有兴趣正确衡量机器人账户的普遍性”。部分原因是如果真实数字被公开,可能会损害公司的价值和形象。
研究网上不真实行为的专家说,量化“机器人账户”可能很困难,因为对这一术语没有一个广泛认同的定义,而且不良行为者不断改变他们的策略。推特以及整个互联网上也有许多无害的机器人账户, 比如自动新闻账户,推特提供了一个选择功能,允许这类账户明确地将自己标为自动账户。
推特告诉CNN,它不知道其平台上有多少机器人的说法缺乏背景,重申并非所有的机器人都是坏的,并补充说,推特上的机器人账户总数,将包括那些推特公司可能已经识别并采取行动的机器人账户。推特说,公司也不相信它能抓住平台上的每一个垃圾账户,这就是为什么它在其财务文件中报告了不到5%的数字,这反映的是一种人工估计。
但扎特科告诉CNN,他认为尝试测量平台上的垃圾账户、虚假或其他潜在有害的自动账户总数仍有价值。他说:“执行团队、董事会、股东和用户都应该得到一个诚实的答案,即就数据、信息和内容而言,他们在平台上所消费的是什么……至少从我的角度来看,我想投资于一个知道实际情况的公司,因为我想对一个组织的长期价值进行战略投资”。
推特表示,它允许机器人账户在其平台上运行,但其规则禁止那些从事垃圾邮件或平台操纵的机器人。但是,与所有社交媒体平台的规则一样,挑战往往在于执行其政策。
其表示,它定期拒绝、暂停和删除从事垃圾邮件和平台操纵的账户,包括通常每天删除超过一百万个垃圾账户。推特表示,平台上的机器人账户总数并不是一个有用的数字。这家公司拒绝回答关于平台上的账户总数,或平台上每天新增账户的平均数量的问题,以作为其每天删除机器人账户数字的背景信息。
但是,在对推特估计虚假和垃圾账户的真实数量的能力表示怀疑的同时,扎特科的指控可能为马斯克的核心主张提供弹药,即这个数字比推特公开报告的数字要高得多。
扎特科说,通过公开,他认为自己是在为一个他认为对民主至关重要的平台,做他被雇用时要求的工作。他说:“杰克·多尔西向我伸出手,请我到推特执行一项关键任务。 我签了字,并相信我仍然在执行这项任务”。
