我们最近了解到近四分之一的Twitter员工可以访问客户账户. 这种访问包括锁定和解锁帐户、查看直接消息和更改电子邮件地址。

正如我们在Twitter上看到的，没有责任感的访问是有问题的，但即使有责任感，内部威胁仍然是一个问题。软件公司需要开始彻底重新考虑员工的访问权限。

不仅仅是Twitter做到了这一点。SaaS公司的员工访问敏感的客户数据是非常常见的。我这里说的不仅仅是他们的联系信息，而是他们与SaaS供应商存储的数据。

在我工作过的销售企业云软件的地方，大多数客户支持、ops、devops、工程和专业服务都能够访问客户数据或针对特定客户采取行动。

我不认为这是普遍滥用。它被用来帮助客户解决问题、理解问题、调试软件和提供服务。我们有一些系统可以对员工查看客户数据和查看内容时记录的访问权限进行检查。

如果没有人监视访问日志，则访问日志没有帮助

但问题是：谁在看那些日志？我不认为他们在我工作的地方经常受到监视。而且这些日志肯定没有发布给客户。

当人们认为他们可以做一些事情，而没有人会注意到时，责任感就消失了，即使某个地方有记录。

Twitter高调账户被接管的尴尬时刻只是一个极端和非常明显的滥用迹象。但在这之前，Twitter的员工监视著名Twitter用户的私人信息.

Twitter也知道这是个问题。

“2018年9月，就在他在参议院情报委员会作证前不久，我私下会见了Twitter的CEO杰克·多西。在那次谈话中，多西告诉我，公司正在开发端到端加密的直接消息。我们的会议已经过去近两年了，Twitter的DMs仍然没有加密，这使得它们很容易受到滥用公司系统内部访问权限的员工和获得未经授权访问权限的黑客的攻击

twitter能做些什么？

Twitter是一个灾难的配方，原因有两个：

1. 特权用户可以访问私有数据。
2. 用户无法知道这是什么时候发生的。

没有透明度，就没有问责制。没有责任，就没有信任。

Twitter是一个引人注目的例子，但我坚信，这些问题在商业世界中也有同样高的风险。企业将他们的数据托付给亚马逊、微软、Salesforce和成千上万的其他云提供商。像我提到的那些更复杂的，采取额外的措施来防止好奇或恶意的内部人员。

例如，谷歌最近发布了GCP访问透明度，这样公司就可以知道GCP管理员何时访问了他们的数据（除非FISA法庭命令迫使他们保密，在这种情况下，他们会保留这些日志）。此功能还允许客户在访问之前批准支持工程师的访问。

不幸的是，Google只向具有高级支持级别的企业客户提供此功能。即使这样，默认情况下也不会打开.你必须请求支持才能打开它.

是时候让软件做得更好了

阳光是最好的解药。当客户看到他们的数据是如何被访问的，他们就可以对这些信息做出反应。当云供应商的员工知道客户会看到他们访问他们的数据时，他们会更加负责和谨慎。

归结起来就是SaaS信任模型. 买家需要了解这些模型才能做出明智的决策。

当潜在的敏感信息起作用时，完全信任模型不再是默认的。端到端加密和零信任模型是理想的，但是包括信任但验证模型在内的选项比例在不断变化，这正迅速成为企业的标准要求。

现在是时候采取渐进式的行动了，如果不是跳跃式的，那就是转向更强大的信任模型。未经证实的完全信任是有毒的炖肉。

强大的力量带来巨大的诱惑。Twitter已经展示了这一点，但如果你仔细观察，同样的动力无处不在。但我们可以解决它。