我们最近了解到近1 / 4的Twitter员工可以访问客户账户．这种访问权限包括锁定和解锁账户、查看直接消息以及更改电子邮件地址。

正如我们在Twitter上看到的，没有问责制的访问是有问题的，但即使有问责制，内部威胁仍然是一个问题。软件公司需要彻底重新考虑员工准入问题。

并不是只有Twitter能做到这一点。SaaS公司的员工访问敏感客户数据是非常常见的。这里我不仅仅是在谈论他们的联系信息，我还在谈论他们存储在SaaS供应商那里的数据。

在我工作过的销售企业云软件的地方，大多数客户支持、运维、devops、工程和专业服务都能够访问客户数据，或者在特定客户的环境中进行操作。

我不认为这种权限被普遍滥用。它被用来帮助客户解决问题，理解问题，调试软件，并提供服务。我们有系统可以进入，记录员工查看客户数据和他们查看的内容。

如果没有人监控访问日志是没有用的

但问题是，谁在看这些日志?我不认为他们在我工作的地方被定期监控。而且这些日志肯定没有发布给客户。

当人们认为他们可以做些什么而没有人会注意到的时候，责任就消失了，即使在某个地方有记录。

Twitter高调账户被接管的尴尬时刻，只是一种极端而明显的滥用迹象。但在那之前，Twitter的员工就已经监视著名推特用户的私人信息．

Twitter知道这是个问题。

“2018年9月，就在他向参议院情报委员会作证前不久，我私下会见了Twitter的首席执行官杰克·多尔西。在那次谈话中，多尔西告诉我，该公司正在研究端到端加密的直接消息。我们的会议已经过去近两年了，而Twitter的dm仍未加密，这使得它们容易受到滥用公司系统内部访问权的员工和获得未经授权访问权的黑客的攻击。——参议员罗恩·怀登

twitter能做些什么呢?

Twitter是灾难的根源，原因有二:

1. 特权用户可以访问私有数据。
2. 用户无法知道这是什么时候发生的。

没有透明度，就没有问责制。没有问责制，就没有信任。

Twitter是一个引人注目的例子，但我坚信，这些问题在商业世界中同样事关重大。企业信任他们的数据给亚马逊、微软、Salesforce和其他数千家云提供商。更复杂的，比如我提到的那些，会采取额外的措施来防止好奇或恶意的内部人士。

例如，谷歌最近发布了GCP访问透明度，这样公司就可以知道GCP管理员何时访问了他们的数据(除非FISA法庭命令迫使他们保密，在这种情况下，他们会保留这些日志)。该特性还允许客户在访问之前批准支持工程师的访问。

不幸的是，谷歌只向具有高级支持级别的企业客户提供此功能。即使这样，它也不是默认打开的．你必须请求支持才能打开它．

是时候让软件做得更好了

阳光是最好的解药。当客户可以看到他们的数据是如何被访问的，他们就可以对这些信息做出反应。当云计算供应商的员工知道客户将看到他们访问自己的数据时，他们的行动就会更加负责，也更加谨慎。

可以归结为SaaS信任模型．买家需要了解和理解这些模型，以便做出明智的决定。

当存在潜在的敏感信息时，完全信任模型不再是默认值。端到端加密和零信任模型是理想的，但是还有一系列的选项，包括信任-但验证模型，它正在迅速成为企业的标准请求。

如果不是以跳跃的方式，那么是时候逐步转向更强大的信任模型了。没有验证的完全信任是一锅有毒的炖汤。

力量越大，诱惑越大。Twitter展示了这一点，但如果你仔细观察，同样的动态无处不在。但我们可以解决它。