Twitter 安全问题与企业教训

重要资讯摘要

近期，Peiter “Mudge” Zatko 向联邦政府提交了关于 Twitter安全问题的投诉，暴露出许多组织普遍面临的安全挑战。专家们指出，资料隐私和访问权限不当等问题并不仅限于 Twitter，许多企业都在考虑如何改善这些问题。

随著 Zatko 的举报，安全问题再度成为焦点，专家认为企业应重新评估其对安全问题的容忍度，并建立有效的举报政策以保护资讯透明。

自从 Peiter “Mudge” Zatko 向联邦政府提出对 Twitter 安全问题的指控以来，该事件引发了广泛的讨论。虽然 Twitter是一个特例，但安全研究人员指出，许多组织面临相似的安全问题，例如身份识别不当、管理员的特权访问选择不当、以及过时的计算基础设施。

由 SC 媒体访问的安全专家表示，Mudge 的举报报告中所提到的许多问题，正是许多大型组织在访问和资料隐私方面日常面临的挑战。Pathlock的首席营销官 Mike Puterbaugh 提到，Twitter 允许过多员工访问平台的核心控制和敏感资讯，而未进行充分的监管。

“在企业核心应用程序（例如 ERP 和人力资源系统）中分离职责，是许多组织降低风险的基础，”Puterbaugh
表示。他指出，金融领域有无数例子证明企业应当区分某些职能，例如，在支付系统中创建供应商账户与为该供应商付款，Twitter 似乎也没有例外。

许多安全专业人士认为，这些事件提供了宝贵的教训。LARES Consulting 的首席运营官 Andrew Hay表示，企业应重新评估管理层对安全问题报告的容忍度，以及董事会对此的期望。他强调，许多组织需要重新界定“必须”与“应该”的标准，并向领导团队针对安全问题提出建议。

“此外，许多安全高管应要求其领导团队制定举报政策，以保护自己及资讯的流通，当公司发生类似问题时，”Hay
指出。他还补充道，安全行业不应掩盖重要的安全问题，而应利用此机会改进当前过程，并巩固高管团队的支持。

Bugcrowd 的创始人及首席技术官 Casey Ellis 表示，Mudge提出的网络安全挑战并不罕见。他指出，例如过度的特权访问在科技行业非常普遍，尤其是在疫情催生的远程和混合工作模式下。

“这里有两个学习机会，”Ellis 指出。“第一是安全领导者和团队需要重新检视他们优先处理和解决基本问题的方式。第二是模拟 Twitter
的场景，思考如果安全缺陷成为公开纪录，会对信任及品牌产生什么影响。”

CardinalOps 的网络防御战略副总裁 Phil Neray 表示，Mudge 作为前道德黑客及谷歌和 DARPA的安全专家，拥有很高的可信度。对于董事会和管理团队而言，Neray强调的教训是要警惕那些关于安全和隐私控制的过于乐观的报告，因为执行官可能会因为大量财务利益而选择忽视系统性问题。

“故意忽视这些问题的后果可能包括严重的监管罚款、繁琐的同意令和股东诉讼，”Neray 警告道。他还指出，对于安全领导层而言，最大的教训是确保有