- 内部员工“滥用”后门,偷窥用户的消息和密码 —— 为什么会有后门?因为警察想要。
在社交网络鼎盛时期,多名 Myspace 员工滥用公司内部工具来监视用户,在某些情况下包括前合作伙伴。
据多名前雇员称,该工具被命名为“霸王”,允许员工查看用户的密码及私密消息。
虽然该工具最初旨在帮助调节平台并允许 MySpace 遵守执法请求,但多名消息人士表示,该工具被未经授权访问 Myspace 用户数据的员工用于非法目的。
“这基本上是 Myspace 平台的一个完整后门,”其中一位前雇员说(主板授予五名前 Myspace 员工匿名讨论内部事件)。
根据多个消息来源,滥用事件发生在该平台受欢迎程度最高的阶段。2006年秋季,该平台拥有的用户达到了一亿。大约就在这个时候,Myspace 是美国第二大最受欢迎的网站,排名高于谷歌搜索。
但这件事从来没有被报道过。足以表明,从社交媒体的早期阶段开始,敏感的用户数据和通信就已经很容易受到大型平台内部员工的攻击。
在某些情况下,用户数据被恶意访问,像 Facebook 和 Snapchat 这样的寡头公司也面临同样的问题。
据两名前雇员说,“霸王”是一个 Myspace 管理工具,用于收集信息以响应执法请求。它还被用来压缩平台上的内容,以及执行版权方面的审查删除请求。
“每家公司都有这种后门,”2006年至2010年担任 Myspace 首席安全官的 Hemanshu Nigam 在接受电话采访时表示,他指的是这些所谓的管理工具。
“无论是处理滥用行为、还是回应执法或民事请求或者管理用户的帐户,都用它,只要是前者提出了某种类型的问题。”
尽管社交媒体平台可能需要这样的工具用于满足执法目的,但四名前 Myspace 工作人员表示,“该工具用于捕获用户的登陆凭证”。
“更高层的权限可以查看用户正在搜索什么,可以看到他们是否正在查找他们的任何联系人或前男友/女友”,这位前员工说。
两位前雇员说霸王很容易使用。今天,管理工具能够访问用户密码的纯文本版本是不寻常的。(Facebook 可能要除外,该公司最近宣布它错误地以明文存储了数亿用户的密码)
Myspace 发言人告诉 Motherboard,内部 Myspace 管理工具“允许我们遵守执法请求或法院传票。”
“滥用用户数据将导致被解聘”,该发言人写道。
一些人也强调了为减轻内部人员滥用而采取的保护措施。
尽管如此,前雇员表示该工具仍然被滥用。
网络安全公司 Duo 的首席信息安全官员 Wendy Nather 说:“任何为特定的、非常特权的目的而编写的工具,都可能被滥用。”
他说,“设计人员和开发人员有责任在构建控件时将其置于假定可能被滥用的状态,并对其进行检查。”
“每家公司都有这种后门”。
多家科技巨头和社交媒体平台都面临着内部恶意员工的问题。主板此前曾报道称,Facebook 因滥用数据访问而解雇了多名员工。
7月,Motherboard 发现 Snapchat 内部员工也滥用访问权限间谍用户,并描述了一个名为 SnapLion 的内部工具。
该工具同样是声称为配合执法目的。
2005年,新闻集团以5.8亿美元收购了 Myspace 的母公司,然后在2011年以3500万美元的价格将其出售给在线广告公司 Specific Media 和 Justin Timberlake。
2016年,该公司数据被黑客入侵,其中包括后来被破解的用户密码哈希。
Tom Anderson,该社交网络的创建者和 Myspace 上每个人的默认第一个“朋友”,没有回应主板发送的评论请求。⚪️
When Myspace Was King, Employees Abused a Tool Called ‘Overlord’ to Spy on Users