当地时间9月13日，美国众议院司法委员会举行专文“统计信息安全可靠面临风险：来自Twitter造假者的供词”的听证。Twitter前信息安全可靠顾问Peiter Zatko出席出庭作证时则表示，Twitter除了存有恶意软件，还缺少对使用者统计数据的管理工作，比如子公司里的技师只了解其中20%的统计数据是什么、为什么要收集。

Peiter Zatko在听证上出庭作证。(Kevin Dietsch/Getty Images)

去年7月，Zatko曾控告Twitter存有一连串关系到个人隐私、国家安全可靠的安全隐患，主要包括存有未公布的安全可靠和隐私安全可靠漏洞、可能未按要求删掉已已过期帐号的统计数据，和可能雇佣了国外情报员。在这次听证上，Zatko对这些控告进行了更详细的阐述，认为“Twitter老总不具备完全理解这一问题的能力，但更关键的在于，子公司的绩效使他们重利润、轻安全可靠”。

为此，Twitter澄清：“今天的听证只能证实Zatko的控告充满著了矛盾和不精确。”Twitter发表声明对CNN则表示，子公司招工不受国外负面影响，子公司外部统计数据的出访是通过大背景调查、出访控制和监控控制系统等措施来管理工作的。但他拒绝直接澄清Zatko明确提出的一连串具体控告，主要包括雇员中是否混进国外探员。

在听证同一时间，Twitter股东举行会议，投票表决结果是支持特斯拉440亿美元的收购，这意味着想要放弃该交易的特斯拉需要进一步诉讼。不过，Zatko在听证上的供词，和司法部门由此采取的任何行动，都可能会对这起债务纠纷产生负面影响。

如控告有误，罚金可达数百万美元

据悉，Zatko于2020年11月被Twitter任为信息安全可靠顾问，职责是加强子公司的信息安全可靠和隐私为保护。去年1月Zatko被辞退。Zatko宣称，他被辞退是因为他在子公司外部对恶意软件和子公司老总对监事会的不实申辩明确提出了担忧。而Twitter发表声明称，辞退原因是他“领导不严，表现欠佳”。

去年7月，Zatko向美国参议院国会议员和监管机构提交了一份约200页的公布书，控告Twitter存有一连串安全可靠安全隐患，并且“欺骗了公众、执政者和监管机构甚至他们自己的监事会”。他控告，Twitter没有严格遵守其在2011年与联邦贸易委员会（FTC）达成的为保护使用者隐私的协议，在隐私安全可靠、内容审核、不实帐号数目检验方面存有“极其严重的安全可靠漏洞”，例如控制系统和软件落伍、无法阻挡外部骇客的攻击，雇员职权混乱、能够随意出访使用者统计数据，不实帐号数目检验业务流程存有安全可靠漏洞等。

Twitter为此的澄清是，Zatko的供词是对子公司的“错误描述”，“充满著了自相矛盾和不精确的地方，缺少关键大背景”，是一次“Montgiscard”。

听证前一天，美国众议院司法委员会方面曾致函Twitter的CEO Parag Agrawal，询问了数十个关于其安全可靠措施的问题，主要包括为为保护平台中个人统计数据所采取的措施，和如何防止外部威胁等，并要求Twitter 在去年9月26日前作出澄清。如果这些指控得到证实，Twitter可能会被处以数百万美元的罚金。

美国众议院司法委员会还邀请Parag Agrawal参与听证，回答有关内容审核外包的问题。但Agrawal拒绝出席，宣称这可能会对Twitter与特斯拉正在进行的诉讼造成负面影响。参国会议员Chuck Grassley则表示，如果Zatko的控告得到证实，“我不知道Agrawal先生如何能保住他在Twitter的职位”。

在听证开场发言中，参国会议员Grassley担心FTC是否有能力监督Twitter严格遵守隐私为保护的同意令。他说：“在国会考虑联邦统计数据隐私立法之际，我认为我们有必要利用这些爆料来了解Twitter如何看待其对联邦监管机构的义务。国会也应该注意到FTC在成功监督这些关键问题方面缺少能力。”

为此，Zatko在听证上则表示，FTC等联邦机构资源不足，与强大的技术平台相比处于劣势。他说，Twitter并不像害怕国外监管机构——比如法国的统计数据为保护机构CNIL那样害怕FTC。这是因为，Twitter担心国外监管机构未来可能对其业务实施持续的处罚或限制，而美国监管机构只会实施一次性的罚金或处罚。

恶意软件下，技师可登入任何人帐号撰文

在出庭作证时，Zatko阐述了他决定成为“吹哨人”的原因。他说，当他加入Twitter时，发现“这家极具负面影响力的子公司落后于行业安全可靠标准十多年”，“会对真实的人造成真实的伤害”。因此，Twitter对国家安全可靠和用户的潜在风险让他决定“有必要为自己和家人承担造假者的个人和职业风险”。

Zatko则表示，他曾向子公司老总明确提出关于恶意软件的担忧，但老总们没有采取行动。他认为：“Twitter老总不具备完全理解这一问题的能力，但更关键的在于，子公司的绩效使他们重利润、轻安全可靠。”

“我揭发此事并非出于怨恨或伤害Twitter。”他说，他希望公布的信息能帮助Twitter最终解决安全可靠问题，他还鼓励该子公司倾听其技师和雇员的意见——“他们长期以来都在报告我公布的问题。”

对于Twitter存有的恶意软件，Zatko公布了他的亲身经历。“我看到过很多次Twitter技师修补安全可靠漏洞。我问：‘问题出在什么地方？’他们说：‘技师可以登入任何人的帐号撰文，这里涉及统计数据外泄。’”

“一个Twitter技师，只要了解控制系统和统计数据流如何运行，就可以出访、输入或提取信息。”Zatko警告称，在出现恶意软件时，说一个Twitter雇员可以接管这个房间里所有参国会议员的账户并不夸张。不过他同时强调，在该子公司任职期间，他从未见过这种事发生。

Twitter未能完全了解与控制其收集的统计数据

对于技师修补安全可靠安全隐患的做法，Zatko评论称：“到处寻找伤口并给它们贴上创可贴的做法是无效的，因为控制系统性的根本问题没有得到解决。”至于什么是“控制系统性的根本问题”，Zatko认为，是如何更好地控制Twitter收集的统计数据。

他此前对Twitter的主要控告之一是，Twitter没能令人信服地删掉已过期帐号的使用者统计数据。 “他们需要知道他们拥有什么统计数据，这些统计数据在哪里，他们为什么得到这些统计数据，和这些统计数据与谁有关。”Zatko说，如果Twitter能更好地控制其数据，这是可能做到的，但它没有，这是该子公司的“根本问题”。

Zatko说，当他来到Twitter时就开始问：“为什么他们总是发生这么多安全可靠事件？”他认为，部分原因是Twitter没有完全了解它从使用者那里收集的所有统计数据，也没有完全了解它为什么要收集这些统计数据。

他引用的一项由技师进行的外部研究称，Twitter收集的所有统计数据中，技师能够明确为什么要收集、应该如何使用、什么时候应该删掉的只有约20%，对于剩下的统计数据，子公司通常不知道这些统计数据是什么，也不知道为什么要收集。他宣称，这些未知统计数据的样本主要包括电话号码和地址等个人身份信息。

根据Zatko的说法，Twitter收集使用者信息的清单主要包括：使用者的电话号码，最新和过去使用的IP地址，电子邮件，Twitter存储的使用者住址和出访地址，设备类型，网络浏览器，和使用者使用的语言。

Zatko还则表示，由于该子公司没有正确理解并为保护其收集的统计数据，进入Twitter系统的不法分子可能会出访并利用这些统计数据。

Twitter缺少对雇员行为的跟踪，可能被国外利用

此外，参国会议员Grassley在听证开场发言中则表示，Zatko的公布说明了Twitter使用者的个人统计数据可能会暴露给国外情报机构。他担心，Twitter收集的统计数据可能被国外探员用于追踪政治异见人士，或监视美国人。

他特别提到了沙特阿拉伯的例子：去年早些时候，一名Twitter前经理被联邦陪审团定罪，罪名是利用自己的

政治压力下——比如武力，而屈服于你对环境中信息的控制要求。”

Zatko则表示，由于“基础设施和工程技术远远落后”，Twitter外部缺少对雇员行为的跟踪和日志记录，而这增加了国外探员在子公司外部操作并利用其统计数据的风险。“追踪这些人极其困难，缺少记录，无法看到他们在做什么，什么信息被出访……更不用说制定补救措施了。”

他补充说，因为没有记录外部控制系统的使用情况，“每周都有数千次出访外部控制系统的失败尝试发生，但没有人注意到”。他宣称，通常只有当外部机构提醒Twitter子公司外部有国外探员时，Twitter才会意识到这个人的存有。

在Zatko看来，对于Twitter可能有国外探员混进的情况，子公司老总似乎“不愿付出努力”根除。他说，一位老总的回答是：“好吧，既然我们已经有了一个，如果我们有更多的会有什么问题？让我们继续扩大办公室的规模。”

听证可能负面影响特斯拉与Twitter的诉讼

在周二听证进行时，埃隆·马斯克在Twitter上发布了一个爆米花表情符号。网友猜测，这表明他可能在密切关注听证的结果。目前，特斯拉正努力通过诉讼摆脱440亿美元收购Twitter的交易。

Zatko在7月的重磅控告给特斯拉放弃收购Twitter提供了理由。特斯拉则表示，Twitter严重违反了收购协议中的多项条款，主要包括对其平台上垃圾邮件机器人数目存有“欺骗性申辩”，并引用了Zatko公布的其他控告，比如Twitter违反了2011年联邦贸易委员会关于处理私人使用者统计数据的协议。

Zatko在听证上的供词可能会对这起诉讼产生新负面影响。周五，特斯拉对Twitter明确提出了最新的反诉。此前负责此案的法官则表示，他可以根据Zatko的公布修改自己的论点。不过，Zatko的律师此前曾则表示，他与特斯拉没有任何联系，对Twitter的控告和对这笔交易没有关系。

上周五，特斯拉发出了第三封信，寻求终止与Twitter的协议，称Twitter在6月份向Zatko支付了据称775万美元的遣散费。他认为，这笔款项是Twitter让Zatko对子公司运营情况保持沉默的“封口费”，并以此作为终止收购交易的理由之一。9月12日，Twitter澄清称，这笔款项只是离职后薪酬赔偿的一部分。

在听证同一时间，Twitter股东举行会议，就是否批准特斯拉440亿美元的收购进行投票表决。股东投票表决是完成这笔交易所需的最后步骤之一，如果投票表决结果为反对，特斯拉可以立即

综合/编译：实习生程雨祺 南都记者蒋琳