据CNN和《华盛顿邮报》独家获得的爆炸性爆料，推特存在重大安全问题，对其用户的个人信息、公司股东、国家安全和民主构成威胁。

上个月提交给国会和联邦机构的这份披露，描绘了这家管理不善的公司混乱而鲁莽的环境，允许太多员工在没有充分监督的情况下访问平台的中央控制系统和最敏感的信息。它还声称，该公司的一些最高级管理人员一直在试图掩盖Twitter的严重漏洞，一名或多名现任员工可能正在为外国情报机构工作。

揭发者是Peiter“Mudge”Zatko，他之前是该公司的安全主管，直接向CEO汇报工作。Zatko进一步声称，Twitter的领导层在其安全漏洞上误导了董事会和政府监管机构，包括一些据称可能为外国间谍或操纵、黑客攻击和虚假信息运动打开大门的漏洞。举报人还声称，在用户注销账号后，Twitter没有可靠地删除用户的数据，在某些情况下，这是因为该公司失去了对信息的追踪，并且在是否按要求删除数据的问题上误导了监管机构。举报人还表示，Twitter高管没有足够的资源来充分了解平台上机器人的真实数量，也没有动力去了解。最近，机器人已经成为埃隆·马斯克试图退出440亿美元收购该公司的核心(尽管推特否认了马斯克的说法)。

今年1月，扎特科被推特解雇，原因是该公司称其表现不佳。据Zatko说，他的公开检举是在他试图向Twitter董事会报告安全漏洞，并帮助Twitter解决多年来的技术缺陷，以及据称没有遵守与联邦贸易委员会(Federal Trade Commission)达成的早些时候的隐私协议之后。扎特科的代理律师是“告密者援助”(whistle Aid)，该组织曾代表Facebook的告密者弗朗西丝·豪根(Frances Haugen)。

揭发者援助的创始人、扎特科的律师约翰·泰伊告诉CNN，扎特科没有和马斯克联系过，并表示扎特科在有任何迹象表明马斯克参与推特之前就开始了揭发者程序。

这篇文章最初发表后，马斯克的律师亚历克斯·斯皮罗(Alex Spiro)告诉CNN，“我们已经向扎特科发出了传票，根据我们的发现，我们发现他和其他关键员工都很好奇。”

CNN就50多个具体问题向推特寻求评论。

推特发言人在一份声明中告诉CNN，安全和隐私都是该公司长期以来的首要任务。推特还表示，该公司为用户提供了明确的工具来控制隐私、广告定位和数据共享，并补充说，它已经创建了内部工作流程，以确保用户知道，当他们取消帐户时，推特将停用帐户，并启动删除程序。Twitter拒绝透露它通常是否会完成这一过程。

推特发言人说:“由于领导不力和表现不佳，扎特科于2022年1月被解雇。”“到目前为止，我们看到的是关于Twitter和我们的隐私和数据安全实践的错误叙述，充满了不一致和不准确，缺乏重要背景。扎特科的指控和投机取巧的时机似乎是为了吸引人们的注意力，并对Twitter、它的客户和股东造成伤害。安全和隐私一直是推特公司的首要任务，今后也将继续如此。”

Zatko的一些最可恶的指控来自他与公司前首席技术官Parag Agrawal的明显紧张关系。去年11月，Jack Dorsey离职后，Parag Agrawal成为公司首席执行官。据披露，阿格拉瓦尔和他的副手们多次劝阻扎特科向公司董事会提供Twitter安全问题的完整账目。据称，该公司的高管团队指示Zatko向董事会提供一份口头报告，报告其对公司安全状况的初步发现，而不是一份详细的书面报告，命令Zatko在知情的情况下提供精心挑选和歪曲的数据，以制造在紧急网络安全问题上取得进展的错误印象，并背着Zatko让第三方咨询公司的报告被删除，以掩盖公司问题的真实程度。

总的来说，披露的内容对多尔西要温和得多，因为多尔西雇佣了扎特科，而扎特科认为多尔西希望看到公司内部的问题得到解决。但在他领导推特的最后几个月里，他确实表现得非常心不在焉，以至于一些高级员工甚至认为他可能生病了。

CNN联系了多尔西，请他发表评论。一位熟悉扎特科在推特任职情况的人士告诉CNN，推特公司调查了他在被解雇前后提出的几项指控，最终发现这些指控没有说服力;这位知情人士补充说，Zatko有时对Twitter的联邦贸易委员会义务缺乏理解。

Zatko认为他被解雇是为了报复他对公司安全问题的警告。

这份措辞严厉的披露文件总计约200页，包括支持性证据，已于上月提交给美国证券交易委员会(sec)、联邦贸易委员会(Federal Trade Commission)和司法部(Department of Justice)等多家美国政府机构和国会委员会。这一披露的存在和细节此前从未被报道过。CNN从国会山的一名民主党高级助手那里获得了一份披露文件的副本。证交会、司法部和联邦贸易委员会拒绝置评;参议院情报委员会(Senate Intelligence Committee)发言人雷切尔·科恩(Rachel Cohen)表示，该委员会收到了这份报告的副本，正在认真对待披露的信息，并正在安排会议讨论这些指控。

参议院司法委员会(Senate Judiciary Committee)主席迪克·德宾(Dick Durbin)参议员也收到了这份报告，他誓言要进行调查，“并采取必要的进一步措施，将这些令人震惊的指控彻底查清”。

该委员会的共和党领袖、Twitter的狂热用户、参议员查克·格拉斯利(Chuck Grassley)也在给CNN的一份声明中表达了对这些指控的深切担忧。

格拉斯利说:“一个收集大量用户数据的技术平台，把它与一个看起来极其薄弱的安全基础设施结合起来，再向它注入有目的的外国国家行为者，你就得到了灾难的配方。”“我从一名推特举报人那里收到的指控引发了严重的国家安全担忧和隐私问题，必须对它们进行进一步调查。”

的告密者

1998年，扎特科第一次引起全国关注，当时他参加了第一次有关网络安全的国会听证会。

“我的一生都在寻找我可以去的地方，并做出改变。我在安保部门做过。这是我的主要手段，”他在本月早些时候接受CNN采访时表示。

导致他决定成为告密者的事件开始于他在Twitter工作之前，在2020年的一次毁灭性的黑客攻击中，一些世界上最著名的人的Twitter账户被泄露，包括当时的总统候选人乔·拜登、前总统巴拉克·奥巴马、金·卡戴珊和马斯克。推特告诉CNN，为了应对这一事件，该公司开始划分客户支持工具的访问权限。

袭击发生后，多尔西招募了扎特科。扎特科是一位著名的“道德黑客”，后来成为网络安全内部人士和高管，曾在谷歌、Stripe和美国国防部担任高级职务。他告诉CNN，拜登政府向他提供了一个高级网络职位，上任第一天。

Zatko说，他发现的是一家安全措施极其糟糕的公司，包括允许该公司数千名员工(约占公司员工总数的一半)访问该平台的一些关键控制。他在披露中称自己的总体发现是“严重的缺陷、疏忽、故意的无知，以及对国家安全和民主的威胁。”

据他透露，在1月6日的暴动之后，Zatko担心Twitter内部同情暴动者的人可能会试图操纵该公司的平台。他试图限制Twitter工程师对平台(即所谓的“生产环境”)进行更改的内部访问。

但是，据披露，Zatko很快就意识到“保护生产环境是不可能的。所有工程师都有权限。没有记录谁进入了环境或他们做了什么....没有人知道数据的位置，也不知道它是否重要，所有的工程师都可以通过某种方式访问生产环境。”扎特科称，推特也缺乏让员工为信息安全漏洞负责的能力，因为它几乎无法控制或查看员工的个人工作电脑。他援引内部网络安全报告称，每10台设备中就有4台不符合基本安全标准。

Twitter脆弱的服务器基础设施是一个独立但同样严重的漏洞，披露称。据致监管机构的信和扎特科2月份写给Twitter董事会成员帕特里克·皮切特(Patrick Pichette)的一封电子邮件显示，在该公司50万台服务器中，约有一半在运行过时的软件，这些软件不支持基本的安全功能，如存储数据加密或供应商的定期安全更新。

Zatko披露称，该公司还缺乏足够的冗余和程序来重新启动或从数据中心崩溃中恢复，这意味着即使几个数据中心同时出现轻微故障，也可能导致整个Twitter服务下线，甚至可能永远下线。

Twitter没有回应有关数据中心中断风险的问题，但告诉CNN，如果有特定的业务理由，Twitter的工程和产品团队的人员被授权访问生产环境。推特补充说，推特的员工使用由其他IT和安全团队监督的设备，如果设备运行过时的软件，这些团队有权阻止设备连接到敏感的内部系统。

该公司还表示，它使用自动检查来确保运行过时软件的笔记本电脑无法访问生产环境，员工只能在代码满足一定的记录和审查要求后才可以更改Twitter的实时产品。

据知情人士透露，Twitter有内部安全工具，由公司定期测试，每两年由外部审计人员测试一次。这位知情人士补充说，Zatko的一些有关设备安全的统计数据缺乏可信度，是由一个小团队得出的，该团队没有恰当地解释Twitter现有的安全程序。

但推特的安全担忧在2020年之前就已经暴露出来。2010年，美国联邦贸易委员会(FTC)就Twitter对用户隐私信息处理不当以及太多员工有权访问Twitter中央控制系统的问题，向其提出了投诉。该投诉导致美国联邦贸易委员会在第二年签署了一份同意令，Twitter在该命令中誓言要整顿自己的行为，包括创建并维持“一个全面的信息安全计划”。

Zatko声称，尽管该公司的声明与此相反，但它“从未遵守”联邦贸易委员会10多年前的要求。他说，由于据称Twitter未能解决联邦贸易委员会提出的漏洞和其他缺陷，它遭遇了“异常高的安全事件发生率”，大约每周发生一起严重到需要向政府机构披露的事件。今年1月被推特解雇后，扎特科在2月给推特董事会的信中写道:“根据我的专业经验，同行公司没有发生过这种级别或数量的事件。”

扎特科泄密的风险是巨大的。据2011年Twitter最初签署同意令时担任联邦贸易委员会主席的乔恩·莱博维茨(Jon Leibowitz)说，如果发现Twitter违反了其法律义务，它可能会被处以数十亿美元的新罚款。

莱博维茨补充说，在联邦贸易委员会2019年与Facebook达成的50亿美元隐私和解协议中，官员们选择不点名包括马克·扎克伯格和谢丽尔·桑德伯格在内的Facebook高管之后，该机构现在有另一个机会向科技行业表明，它对追究平台责任是认真的。

“在Facebook违反命令的案件中，最大的失望之一是，联邦贸易委员会让高管们逃脱了责任;莱博维茨在接受CNN采访时表示。“如果存在违规行为——这是一个很大的假设——那么我认为联邦贸易委员会应该非常认真地考虑，不仅要对该公司罚款，还要对负有责任的高管进行纪律处分。”

推特告诉CNN，它的联邦贸易委员会合规记录说明了一切，引用了根据2011年同意令提交给该机构的第三方审计，推特称Zatko没有参与其中。推特还表示，公司遵守了相关的隐私保护规定，并向监管机构公开了其修复系统缺陷的努力。

知情人士告诉CNN, Zatko的指控部分是基于他未能把握Twitter现有的程序和流程如何履行Twitter的联邦贸易委员会义务，称这种误解促使他对公司的合规水平做出了不准确的声明。

外国的威胁

该披露称，推特特别容易受到外国政府的利用，从而破坏美国国家安全，该公司目前甚至可能雇佣外国间谍。

举报人的报告称，在Zatko被解雇前不久，美国政府向Twitter提供了具体证据，表明该公司至少有一名雇员(或许更多)在为另一个政府的情报机构工作。该报告没有说明推特是否已经知道，或者是否随后采取了行动。

去年，在俄罗斯入侵乌克兰之前，时任推特首席技术官的阿格拉瓦尔向扎特科提议，推特应遵守俄罗斯的要求，这可能导致对该平台进行广泛的审查或监视，扎特科称。

该披露并未提供阿格拉瓦尔建议的细节。然而，去年夏天，俄罗斯通过了一项法律，迫使科技平台在该国开设当地办事处，否则可能面临广告禁令。西方安全专家表示，此举意在让俄罗斯对美国科技公司拥有更大影响力。

扎特科认为，尽管阿格拉瓦尔的建议最终被放弃，但这仍然是一个令人担忧的迹象，表明Twitter在追求增长的过程中愿意走多远。

“推特现任CEO甚至暗示推特成为普京政权的同谋，这一事实引起了人们对推特对美国国家安全影响的担忧，”Zatko在披露中说。

就在扎特科的报告公开的两周前，一名推特前经理被判为沙特阿拉伯从事间谍活动。

沙特的这起案件突显了Zatko现在对推特提出的指控的严重性。他的报告可能进一步激起华盛顿两党对外国对手及其对美国人构成的网络安全威胁的担忧，这些威胁包括窃取美国公民数据、操纵美国选民或窃取技术和商业机密。

Twitter没有回应有关其所谓的外国情报漏洞的具体问题。

麝香的元素

Zatko的披露对马斯克来说是一个特别幸运的时刻，他正因为试图放弃收购推特而与推特打法律战。马斯克指责推特在其平台上的垃圾邮件机器人数量上撒谎，他声称这个问题应该让他终止交易。

虽然马斯克在4月与推特签署的具有约束力的收购协议中没有包括任何与机器人相关的豁免，但这位亿万富翁声称，平台上的机器人数量会影响用户体验，拥有比之前已知的更多的机器人可能会影响公司的长期价值。在马斯克决定终止收购后，推特提起诉讼，指控他以机器人为借口退出交易，在最近的市场低迷之后，他现在感到了买家的悔恨，并请求法院迫使他完成交易。该案将于今年10月在特拉华州衡平法院(Delaware Chancery Court)开庭审理。

用户数量对于任何社交媒体业务来说都是至关重要的信息，因为广告收入取决于有多少人可能看到一个广告。但在科技和媒体行业，关于某项服务有多少用户，或有多少人实际浏览了某项广告的数据，由于操纵和错误，是出了名的不可靠。

在社交媒体公司中，Twitter唯一向投资者和广告商报告其用户数量的是一种叫做“可变现日活跃用户”(mdau)的衡量标准。它的竞争对手只是统计和报告所有活跃用户;直到2019年，Twitter也是这样运作的。但这意味着Twitter的数据在某些情况下会出现大幅波动，包括大型bot网络被关闭。因此，推特改用mdau，它表示统计所有可以在推特上看到广告的用户——根据Zatko披露的信息，把所有因为某种原因不能看到广告的账户，比如因为他们被认为是机器人账户，放在一个单独的桶里。

该公司多次报告称，其mdau中只有不到5%是虚假或垃圾账户。一位知情人士本周向CNN证实了这一评估，并指出其他投资者披露的信息称，这一数字依赖于重要的判断，可能并不能准确反映现实。但Zatko认为，Twitter只报告了机器人在mDAU中所占的比例，而不是该平台上的账户总数的百分比，这掩盖了该服务上虚假和垃圾账户的真实规模，Zatko称此举是故意误导。

Zatko说，他从2021年初开始询问推特上机器人账户的流行情况，推特网站完整性负责人告诉他，该公司不知道其平台上有多少机器人。他声称，在结束与诚信团队的对话时，他认为该公司“没有兴趣适当衡量机器人的流行程度”，部分原因是，如果真实数字被公开，可能会损害公司的价值和形象。

研究网络虚假行为的专家说，很难量化“机器人”，因为对这个词的定义没有广泛的共识，而且坏人不断改变他们的策略。Twitter上(以及整个互联网上)也有许多无害的机器人，比如自动新闻账户，Twitter提供了一个选择加入功能，允许这些账户透明地将自己标记为自动账户。推特向CNN表示，该公司不知道其平台上有多少机器人的说法缺乏背景，并重申并非所有机器人都是坏的，并补充说，关注推特上机器人的总数将包括公司可能已经识别并采取了行动的那些机器人。推特表示，该公司也不相信自己能抓住平台上的每一个垃圾邮件账户，这就是为什么它在财务申报文件中报告了低于5%的数字，这是人工估算的结果。

但Zatko告诉CNN，他认为尝试测量平台上的垃圾邮件、虚假或其他潜在有害的自动账户的总数仍然有价值。“高管团队、董事会、股东和用户都应该得到一个诚实的答案，即他们(在平台上)消费的数据、信息和内容是什么……至少从我的角度来看，我想投资一家我了解实际情况的公司，因为我想从战略上投资一家公司的长期价值，”他说。

Twitter表示，它允许机器人在其平台上出现，但其规则禁止那些从事垃圾邮件或操纵平台的机器人。但是，就像所有社交媒体平台的规则一样，挑战往往在于执行其政策。

该公司表示，它经常挑战、暂停和删除参与垃圾邮件和平台操纵的账户，包括通常每天删除超过100万个垃圾邮件账户。推特表示，该平台上的机器人总数不是一个有用的数字。该公司拒绝回答关于该平台上的账户总数或每日新增账户的平均数量的问题，以作为其每日删除bot数据的背景。

但是，Zatko的指控让人们对Twitter估算虚假和垃圾账户真实数量的能力产生了怀疑，这可能会为马斯克的核心主张提供弹药，即这个数字远远高于Twitter公开报告的数字。

扎特科说，通过公开，他相信自己正在为一个他认为对民主至关重要的平台做他被雇佣的工作。“杰克·多尔西找到我，让我去执行Twitter的一项关键任务。我签约就是为了这样做，我相信我仍然在执行这个使命。”