联邦检察官周三(11月6日)指控两名前Twitter雇员——一名沙特公民和一名美国公民——为沙特阿拉伯从事间谍活动。
美国司法部称,这些人利用他们在这家社交媒体巨头的权限,收集有关沙特政权异见人士的敏感和非公开信息。网络安全和隐私专家、诺特丹大学门多萨商学院信息技术、分析和运营副教授Mike Chapple说,Twitter没有达到行业标准的网络安全实践。
美国国家安全局(National Security Agency)前计算机科学家查普尔(Chapple)表示:“两名被告都获取了有关个人的信息,他们没有理由认为这些信息是他们工作职责的一部分。”其中一名员工是网站可靠性工程师,负责保持Twitter平台的正常运行。他的工作并不涉及访问个人账户,但他设法访问了沙特政府感兴趣的6000多个人的个人信息,显然没有引起Twitter网络安全团队的注意。”
查普尔指出,这严重违反了最低特权原则,这是一种长期存在的安全范式,规定任何员工都应该只拥有执行其工作职责所需的最低权限。“如果Twitter实施了这一原则,”他说,“信息的滥用就不可能发生。”
此案还突显了外国政府从美国科技公司获取信息的兴趣。
“社交媒体的全球性使得用户数据成为外国情报机构的一个有吸引力的目标,”Chapple说。“这些公司保存的信息远远超过用户在其账户上发布的信息,还包括敏感的个人信息,如电话号码、IP地址,甚至精确的地理位置信息。”社交媒体公司必须了解这些信息的敏感性,并限制对尽可能少的员工的访问。如果不这样做,社交媒体用户的隐私甚至人身安全就会受到威胁。”
查普尔说,这些人没有违反任何联邦隐私法,因为根本没有。他长期以来一直建议美国实施全面的隐私法,就像欧盟在2018年通过其《一般数据保护条例》(General Data Protection Regulation,简称GDPR)所做的那样。
查普尔最近在CNN的一篇专栏文章中敦促制定相关法规,“该法律适用于所有行业的广泛类别的个人信息,并为个人提供一些基本的保护。它要求企业在收集个人信息之前获得同意,披露它们将如何使用收集到的信息,并为消费者提供一种机制,让他们要求从企业文件中删除自己的个人信息。GDPR还要求企业及时向监管机构和受影响的个人披露数据泄露。”
联系人:Mike Chapple, 574-631-5863, [email protected]
新闻旨在传播有益信息,英文原版地址:https://news.nd.edu/news/expert-says-twitter-spies-committed-espionage-but-broke-no-federal-privacy-laws-because-there-are-none/