我们最近了解到近1 / 4的Twitter员工可以访问客户账户。这种访问权限包括锁定和解锁账户、查看直接消息以及更改电子邮件地址。

正如我们在Twitter上看到的，没有问责制的访问是有问题的，但即使有问责制，内部威胁仍然是一个问题。软件公司需要彻底重新考虑员工准入问题。

这不仅仅是推特这样做。SaaS公司的员工可以访问敏感客户数据是非常常见的。我不只是在这里谈论他们的联系信息，我正在谈论他们与SaaS供应商存储的数据。

在我工作过的销售企业云软件的地方，大多数客户支持、运维、devops、工程和专业服务都能够访问客户数据，或者在特定客户的环境中进行操作。

我不认为这种权限被普遍滥用。它被用来帮助客户解决问题，理解问题，调试软件，并提供服务。我们有系统可以进入，记录员工查看客户数据和他们查看的内容。

如果没有人监控访问日志是没有用的

但问题是，谁在看这些日志?我不认为他们在我工作的地方被定期监控。而且这些日志肯定没有发布给客户。

当人们认为他们可以做些什么而没有人会注意到的时候，责任就消失了，即使在某个地方有记录。

Twitter的尴尬时刻被接管了高调账户只是一个极端和极明显的滥用迹象。但即使在发生之前，Twitter员工也是如此监视著名推特用户的私人信息。

Twitter知道这是个问题。

“2018年9月，就在他向参议院情报委员会作证前不久，我私下会见了Twitter的首席执行官杰克·多尔西。在那次谈话中，多尔西告诉我，该公司正在研究端到端加密的直接消息。我们的会议已经过去近两年了，而Twitter的dm仍未加密，这使得它们容易受到滥用公司系统内部访问权的员工和获得未经授权访问权的黑客的攻击。——参议员罗恩·怀登

twitter能做些什么呢?

Twitter是灾难的根源，原因有二:

1. 特权用户可以访问私有数据。
2. 用户无法知道这是什么时候发生的。

没有透明度，就没有问责制。没有问责制，就没有信任。

Twitter是一个高调的例子，但我强烈相信这些问题在商业世界中具有同样高的赌注。企业将其数据信任到亚马逊，微软，Salesforce和数千个其他云提供商。与我所提到的那样更复杂，采取额外的措施来防止好奇或恶意的内部人员。

例如，谷歌最近发布了GCP访问透明度，所以公司可以知道GCP管理员何时访问他们的数据（除非像FISA Court命令等类似的东西将它们迫使他们保密，在这种情况下，他们将重新保留这些日志）。此功能还允许客户批准支持工程师在发生之前的访问权限。

不幸的是，谷歌只向具有高级支持级别的企业客户提供此功能。即使这样，它也不是默认打开的。你必须要求支持打开它。

是时候让软件做得更好了

阳光是最好的解药。当客户可以看到他们的数据是如何被访问的，他们就可以对这些信息做出反应。当云计算供应商的员工知道客户将看到他们访问自己的数据时，他们的行动就会更加负责，也更加谨慎。

可以归结为SaaS信任模型。买家需要了解和理解这些模型，以便做出明智的决定。

当存在潜在的敏感信息时，完全信任模型不再是默认值。端到端加密和零信任模型是理想的，但是还有一系列的选项，包括信任-但验证模型，它正在迅速成为企业的标准请求。

如果不是以跳跃的方式，那么是时候逐步转向更强大的信任模型了。没有验证的完全信任是一锅有毒的炖汤。

力量越大，诱惑越大。Twitter展示了这一点，但如果你仔细观察，同样的动态无处不在。但我们可以解决它。