freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    马斯克入主推特后,网络安全都经历了些什么
    2023-06-13 18:13:22

    裁撤整个安全部门、多次全球性服务宕机、内容风险频发….

    这是马斯克自去年10月以440亿美元正式接管推特后的那些令人印象深刻的安全“成绩单”,而在最近,推特还宣布正式退出自2018年加入、旨在进一步遏制和打击在线虚假信息的欧洲《反虚假信息行为守则》。

    难道是马斯克不重视网络安全吗?但今年3月,他还呼吁“把AI关在网络安全的笼子里”,在更早的2021年世界互联网大会上,马斯克也曾代表特斯拉表示“数据安全不仅与个人利益密切相关,同时和整个社会利益息息相关。”

    对于远比特斯拉、SpaceX受众更大的推特,马斯克究竟是如何打理这个平台的网络及信息安全?他到底有何策略?现在先让我们从他去年的收购风波开始说起。

    收购之路频曝变数

    在2022年8月之前,马斯克收购推特之路并不顺畅,推特曾多次试图阻止他的收购计划,但眼看生米煮成熟饭之际,马斯克也因推特自身问题暂停或中止过收购,这其中大多围绕网络安全相关问题展开。

    2022年5月13日,马斯克曾短暂宣布暂时搁置收购交易,原因是他曾要求推特证明虚假账户比例低于5%,但推特还未给出最后的详细计算结果。马斯克怀疑推特至少有20%的虚假账户,但推特首席执行官拒绝提供虚假账户占比低于5%的证据。

    6月6日,因推特未提供有关机器人账户和虚假账户的真实数据,严重违反协议,马斯克表示可能会放弃收购。到了7月,马斯克认为推特违背协定多项协议,宣布正式终止收购,随后,推特正式起诉马斯克要求其执行440亿美元原始收购协议,并认为“以推特上存在大量虚假账号”在内的理由都只是借口而已。马斯克于当月底对推特发起反诉,但具体反诉内容未公开。

    8月23日,推特前安全主管佩特·扎特克(Peiter Zatko)向美国证券交易委员会(SEC)、联邦贸易委员会(FTC)以及美国司法部投诉,指控推特高管欺骗了联邦监管机构和公司董事会,称该公司在防御黑客的安全实践方面存在极端、严重的缺陷,并且在打击垃圾邮件机器人方面的努力十分薄弱,包括推特违反了与FTC在2011达成的一项长达20年的和解条款,涉嫌误导监管机构,称其拥有可靠的安全计划。

    根据扎特克的说法,推特约50万台服务器有一半是运行过时且易受攻击的软件版本,同时资料存取权限也管理不善,高管隐瞒了有关违规数量和用户数据缺乏保护的可怕事实,使推特2.38亿日常用户无法受到妥善的安全保护,包括政府机构、美国前总统奥巴马、特朗普和马斯克等其他公众人物都曾受到黑客攻击。

    这其中也包括有利于马斯克对推特虚假账户指控的内容。扎特克在投诉文件中指出推特向高管提供高达1000万美元的现金奖金作为增加日常用户的激励,但在如何减少垃圾邮件的问题上却没有采取明确的措施。他还称推特检测垃圾邮件的工具远没有各种声明中暗示的那么强大,甚至管理层也不敢确实衡量假账号真实数量,因为这将损害公司形象与市值。鉴于此马斯克律师计划邀请扎特克出席 10 月庭审。

    但就在大众等待开庭裁决时,10月4日,马斯克又开始提议以每股54.20美元的原价收购,推特随后确认了马斯克的报价并表示愿意完成交易。这期间曾曝出马斯克多次接触推特,希望以更低的价格重新达成收购交易,但都被推特拒绝。最终,马斯克于10月26日走进了推特总部,这桩来回拉扯多次的收购案最终划上了句号。

    2022年10月26日,马斯克带着一个水槽穿过大厅进入旧金山的推特总部

    也许,马斯克有以虚假账号等为理由来影响推特股价、进而压低收购价格的嫌疑,但也由此看出,马斯克深知网络安全因素对一家互联网巨头企业的重要性,也了解推特在这一方面做得并不好,无论是发生多次的数据泄露,还是被指利用审核政策干预选举,马斯克接手推特后,便立刻开始对安全部门进行“腥风血雨”般的整顿。

    血洗安全部门

    马斯克入主推特后,便立刻大刀阔斧裁掉了超50%的员工,据美国消费者新闻与商业频道(CNBC)今年1月的报道,该媒体获得的内部文件显示,推特的全职员工人数已减少到约1300人左右,其中包括不到550名全职工程师。但随后,马斯克在推特上回应,推特现在还有约2300名活跃员工大,可即便如此,也与马斯克收购前推特所拥有的7500名员工相比大幅缩水三分之二。

    这其中,网络安全部门更是被一锅端,甚至连信息安全负责人维贾亚·加德(Vijaya Gadde)也未能幸免。对此,马斯克曾表示会着重发力用户隐私信息保护,对非法政府数据请求的保护,以及提高推特整体的安全防护能力。这些措施具体包括加密私信、加密视频及语音。

    但整个安全部门的裁撤、更迭对于像推特这种庞大体量的互联网巨头而言,安全性开始变得无比脆弱。前美国国家安全局黑客杰克·威廉姆斯(Jake Williams)就此表示,裁掉整个网络安全部门的做法极为少见,虽然在任何重组中首先被裁掉的一般是那些参与非职能业务的员工,但裁掉整个安全团队意味着推特的个人数据将面临空前风险。

    推特位于旧金山的总部

    虽然到目前为止,马斯克的此般作为还并未导致推特在他任期内产生已披露的数据泄露事故,但其副作用已经开始显现。仅在今年2月至3月间,推特就发生了3次大规模的服务宕机事故,有分析称,出现这种状况可能就与推特近期的大规模裁员有关。

    在3月6日发生的宕机事故中,马斯克曾发推表示“这个平台太脆弱了,不久将被修复。”可见,马斯克是知道推特平台安全性及稳定性问题,至于会采取哪些措施解决,目前还不得而知,但另一项问题——内容安全问题在马斯克接管后引发了外界广泛的担忧。

    马斯克式自由引发内容安全忧虑

    马斯克一直自诩“言论自由的绝对主义者”,在收购之初曾希望取消一些内容审核措施,呼吁建立一个“言论自由”平台,并取消对有争议账户的永久禁令。此话一出,网络安全活动人士和许多推特用户感到反感,但在正式入主推特后,马斯克适当“反悔”了之前的立场,表示会组建一个新的内容审核委员会,该委员会致力于多元化的理念,以尽可能反映不同的观点视角,但在这之前不会对现有的审核政策进行大的调整。

    但马斯克已在实际行动中不断尝试扩宽内容边界,甚至不惜曝出美国政坛“黑料”。去年12月3日,马斯克亲自下场,以“推特档案第一弹”的名义,转发了由美国作家马特·泰比披露亨特·拜登(现任总统拜登之子)的邮件门事件报道被压制的内部消息,里面详细介绍了在2020年大选前夕,推特是如何干涉言论自由,甚至公开压制有关亨特的负面报道的种种行径。

    马斯克曾发推为"推特档案"预热

    这一爆料迅速在美国政坛引发地震,前总统特朗普、众议院共和党领袖凯文·麦卡锡等多名共和党人向推特和拜登政府发起猛烈抨击,斥责推特为拜登儿子亨特压制和删除负面报道的行为,是与拜登政府成员进行“勾结”。


    不久后的12月9日,马斯克以“推特档案第二弹”的名义,转发了美国媒体人巴里·韦斯揭露推特长久以来根据用户的政治观点及意识形态而实施“黑名单”机制的推文,该机制曝光了推特以不通知用户的形式,秘密地防止不受欢迎的推文登上热搜。

    这些举措似乎可以理解为马斯克对过去推特审核制度报以不满的直观体现,将一些上不了台面的“游戏规则”公之于众。但在树立更加开放、公平的审核制度之前,马斯克的此种“破局”行为给平台内容的风险性及不确定性带来新的隐患,这一点直接反映在了广告主的脸色上。由于担心平台内容审核不力,不少大型广告商已经放弃了推特。根据数字研究机构Insider Intelligence今年4月发布的预测,推特在2023年的广告收入将仅为29.8亿美元,低于去年10月预测的47.4亿美元。

    此外,即便是由马斯克任命的内容审核团队,也会被他干预、否定,并直接导致了自他上任以来第二位信任与安全主管艾拉·欧文(Ella Irwin)的离职,而这起事件的源头来自于一部名为《何为女性?》的反变性题材纪录片,该片由美国《每日电讯报》推出,抨击了国内一些党派人士对变性人的放纵鼓励态度。但该片在推特却因“性别错误、禁止故意用错误的性别或名字指代跨性别者”等缘由被限流。马斯克认为“这是推特犯的一个错误,使用性别错误的代名词没有违反任何法律。”

    艾拉·欧文与马斯克

    虽然推特已于今年4月明面上取消了代名词审核,但许多推特审核人员对其他“仇恨言论”政策的个人解读,继续施行原有政策,这在很大程度上引起了马斯克的不满。欧文的离职原因虽然没有得到当事人的证实,但马斯克亲自跳出来表示“与其直接相关”。

    而随着生成式Ai的流行,真假难辨的虚假信息也开始在推特横行,最典型的例子莫过于在刚刚过去的5月,由Ai生成的五角大楼爆炸的图片在推特上疯传,而主要传播账号竟包括一些经过Twitter Blue官方认证虚假媒体账号。最终,美国政府官员亲自出面,证实并谴责该照片只是个骗局才得以平息。

    可以说,马斯克想要引导构建的新型内容审核团队及机制到底是怎样的,对内容尺度的把控究竟如何,到目前看起来仍然捉摸不透,这不禁让人联想起他在收购推特前夕说过的一句话:“推特就是一座数字言论广场,对人类前途攸关重大的事情可在这里讨论。”但显然,在像这样的“数字言论广场”改变的过程中,换来的是广告主大撤退、内容审核主管三度易主。

    如果说马斯克对推特内容审核依然模糊不清,那么,对于用户隐私——这个维护 “数字言论”广场极为重要的护身符,马斯克又做的到底如何?

    姗姗来迟的加密私信功能

    今年5月12日,推特正式推出了基于端到端的加密私信功能。去年11月,有研究人员发现安卓版源码中出现了端到端加密(End-to-end encryption,E2EE)代码,暗示了该功能已经进入了准备阶段。

    到了今年3月5日,马斯克发推表示,基于个人的加密私信(DM)功能有望在月底正式上线。但消息一出,用户反馈并不乐观,不少人对此功能的推出一头雾水,甚至将这件事当成马斯克“自由过了火”的又一个例证。有用户甚至建议,马斯克应该先修缮一下推特的算法,解决一些莫名其妙的问题和越来越突出的言论对立。

    马斯克曾在3月发推表示有望月底上线加密消息

    也许出于不甚理想的反馈,马斯克并未如期推出加密私信功能,而是直到5月10日才正式官宣上线该功能,可谓是姗姗来迟。

    但这项功能仅适用于为Twitter Blue付费的用户,非付费用户被完全排除在外。此外,该功能也存在一些限制,例如无法向群组发送加密消息,仅支持文本和链接(无媒体),不允许新设备加入现有的加密对话,以及每个用户最多只能注册10台设备。

    在用户越发重视隐私的当下,能够拥有不被曝光、被追踪的私信,对一个全球性平台而言确实能够吸引一些用户加入,尤其是在推特广告收入锐减、营收明显下滑的背景下。但这同时也是马斯克“自由”精神的体现,但自由与监管往往是相背而行,加密的背后,可能潜藏着灰色交易甚至是违法犯罪活动,如果得不到有效监管,推特在世界多国的运营处境将会变得艰难。

    结语

    自马斯克去年10月正式收购推特到现在已经过了大半年时间,就目前看来,马斯克血洗安全部门这一惊人举措,是对过去推特安全性的一次彻底否定,也是他精兵简政、改造推特的重要一环。在经历过初期的重大非议后,马斯克的安全政策能否可行,其对安全部门大动干戈的目的何在,以及是否会在用户隐私安全功能上更进一步,还有待时间的验证。

    马斯克所带领的推特成绩单仍然处于“作答“状态,或者说才刚开了一个不太被外界看好的开头。即便如此,马斯克的“治推思路”仍可以给其他企业带来些许重要的启示。


    第一、马斯克对推特安全大动刀究竟为何?虽然整个推特都处于裁员风暴之中,但毫无疑问安全部门被裁撤的最狠,安全负责人也在被裁的名单之中。这是否意味着,安全部门缺乏支柱性作用,因此被裁的比例最高;当然这里也不排除推特安全部门“冗余”程度最高,因此被狠狠挤压了水分。

    第二、推特并未放弃安全能力。安全部门虽然遭遇大裁员,但随后马斯克邀请天才黑客Geohot加入推特安全部门,并答应马斯克会在 12 周内修复推特“摇摇欲坠的”搜索功能,引起业界的广泛关注,这表明马斯克依旧希望强化推特的安全能力。但有意思的是,Geohot仅仅工作33天就离开了推特。

    第三、马斯克的新内容审核机制尚未显示出对推特内容安全问题有明显改善,但其经营策略可能需要更多时间来实施和生效。这表明更加偏向用户侧的内容安全策略不宜太过于立竿见影,从而给用户造成过于割裂的内容体验,而是要采取循序渐进的办法,逐渐探索出既维护内容的广度与自由度,又能扼杀谣言等有害信息的内容治理体系。

    第四、重视用户隐私,发展用户侧的隐私功能,在有利于进一步握牢用户粘性的同时,也能吸纳到更多新用户。

    第五、彰显安全对于企业的重要性,在对推特安全部门举起屠刀后,虽然其安全体系并未立刻崩溃,但很明显已经失去了所有的进取之力,只能堪堪维持当下局面。推特在马斯克带领下的所采取的种种措施和与之伴随的问题,再度显示了网络安全及对于企业的重要性。企业应该深刻认知裁撤安全部门所导致的必然后果,即使要在有限的资源下运作,也要结合企业规模及业务,确保有足够的安全能力保障企业正常运行。或许,我们可以再等等,看看推特的安全部门及策略会有哪些出乎意料的结果。

    相信成为世界首富的马老板有他自己的精明策略。但即便失败,拥有庞大用户体量的推特也不会彻底沉没,而是等待下一位英明的“救世主”。

    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者
    文章目录