كشف الكشف المتفجر عن المخالفات من قبل رئيس الأمن السابق في تويتر هذا الأسبوع عن تعرض الشركة لتحقيقات فيدرالية جديدة وربما غرامات بمليارات الدولارات أو التزامات تنظيمية أكثر صرامة أو عقوبات أخرى من الحكومة الأمريكية ، وفقًا لخبراء قانونيين ومسؤولين فيدراليين سابقين.
يواجه موقع Twitter مخاطر قانونية هائلة ناجمة عن إفشاء المبلغين عن المخالفات من قِبل Peiter "Mudge" Zatko ، الذي يدعي في كشف ما يقرب من 200 صفحة للسلطات أن الشركة مليئة بالعيوب في أمن المعلومات - وأنه في بعض الحالات قام مديروها التنفيذيون بتضليل مجلس إدارتها والجمهور بشأن حالة الشركة ، إن لم تكن قد ارتكبت احتيالًا صريحًا.
اتهم تويتر زاتكو ، الذي عمل في الشركة من نوفمبر 2020 حتى تم فصله في يناير بسبب ما وصفه تويتر بأنه أداء ضعيف ، بالدفع "بسرد كاذب عن تويتر وممارساتنا المتعلقة بالخصوصية وأمن البيانات المليئة بالتناقضات وعدم الدقة و يفتقر إلى سياق مهم ". يعتبر زاتكو خبيرًا في مجال الأمن السيبراني يحظى بتقدير كبير ويتمتع بخبرة في مناصب عليا في Google و Stripe ووزارة الدفاع. تم الإبلاغ عن إفصاحه عن المخبرين لأول مرة بواسطة CNN و The Washington Post يوم الثلاثاء.
الامتثال لتسوية الخصوصية الصادرة عن لجنة التجارة الفيدرالية لعام 2011
في إفصاحه للحكومة الأمريكية ، يزعم زاتكو أن تويتر يعاني من "أوجه قصور فادحة" في وضع الأمن السيبراني ، وضلل المنظمين عمدًا بشأن تعامله مع بيانات المستخدم وأن الشركة لا تفي بالتزاماتها بموجب تسوية الخصوصية لعام 2011 مع لجنة التجارة الفيدرالية - أمر ملزم قانونًا يتطلب ، من بين أمور أخرى ، إنشاء "ضمانات معقولة" لحماية المعلومات الشخصية للمستخدمين. رفضت لجنة التجارة الفيدرالية التعليق على الكشف.
يزعم إفصاح Zatko الملعون أن ما يقرب من نصف موظفي Twitter ، بما في ذلك جميع مهندسيها ، لديهم وصول داخلي مفرط إلى المنتج المباشر للشركة ، والمعروف داخل الشركة باسم "الإنتاج" ، إلى جانب بيانات المستخدم الفعلية. كما تزعم أن الشركة تفتقر إلى القدرة على الدفاع ضد التهديدات الداخلية والحكومات الأجنبية وتسريبات البيانات العرضية.
يقول البيان: "أحد المبادئ الهندسية والأمنية الأساسية هو أن الوصول إلى بيئات الإنتاج الحية يجب أن يكون محدودًا قدر الإمكان". "ولكن في Twitter ، قام المهندسون ببناء واختبار وتطوير برامج جديدة مباشرة في الإنتاج مع إمكانية الوصول إلى بيانات العملاء الحية وغيرها من المعلومات الحساسة في نظام Twitter."
يزعم المبلغون عن المخالفات على Twitter سياسات الأمن السيبراني المتهورة والمهملة
أخبر موقع تويتر CNN أن سجل امتثال FTC الخاص به يتحدث عن نفسه ، مستشهداً بمراجعات الطرف الثالث المقدمة إلى الوكالة بموجب أمر الموافقة لعام 2011. أضاف تويتر أنه يتوافق مع لوائح الخصوصية ذات الصلة وأنه كان شفافًا مع المنظمين بشأن جهوده لإصلاح أي أوجه قصور في أنظمته. قال Twitter إن Zatko لم يشارك في أعمال التدقيق ولم يستوعب بالكامل التزامات Twitter FTC أو كيف كانت الشركة تفي بها.
يدعي الإفصاح أن موظفي Zatko كانوا "على دراية وثيقة" بقضايا Twitter أمام لجنة التجارة الفيدرالية وأنهم هم الذين أخبروا Zatko أن Twitter لم يمتثل أبدًا لأمر 2011 ، ولا على المسار الصحيح ليصبح متوافقًا.
قال جون تاي ، محامي زاتكو ومؤسس منظمة Whistleblower Aid ، وهي المنظمة التي تمثله ، لشبكة CNN: "إننا نتمسك تمامًا بمحتويات إفشاء Mudge".
قد يكون Zatko مؤهلاً للحصول على جائزة مالية من حكومة الولايات المتحدة نتيجة لأنشطة المبلغين عن المخالفات. قالت لجنة الأوراق المالية والبورصات إن "المعلومات الأصلية وفي الوقت المناسب وذات المصداقية التي تؤدي إلى إجراء إنفاذ ناجح" من قبل هيئة الأوراق المالية والبورصات الأمريكية يمكن أن تكسب المبلغين عن المخالفات تصل إلى 30 ٪ من غرامات الوكالة المتعلقة بالإجراء إذا كانت العقوبات تصل إلى أكثر من مليون دولار. منحت لجنة الأوراق المالية والبورصات أكثر من مليار دولار لأكثر من 1 من المبلغين عن المخالفات منذ عام 1.
قال تاي إن زاتكو قدم إفصاحه إلى لجنة الأوراق المالية والبورصات "لمساعدة الوكالة في تطبيق القوانين" ، وللحصول على الحماية الفيدرالية للمبلغين عن المخالفات. "لم يكن احتمال الحصول على مكافأة عاملاً في قرار Mudge ، وفي الواقع لم يكن يعرف حتى عن برنامج المكافآت عندما قرر أن يصبح مُبلغًا قانونيًا عن المخالفات."
يأتي الإفصاح عن المخالفات بعد أشهر من لجنة التجارة الفيدرالية وجهت ادعاءاتها الخاصة أن تويتر أساء استخدام معلومات أمان الحساب لأغراض إعلانية في انتهاك لأمر 2011. تويتر وافقت على دفع 150 مليون دولار في مايو لحل هذه المطالبات ، في تسوية ثانية للجنة التجارة الفيدرالية.
الآن ، يثير إفصاح Zatko احتمال حدوث انتهاك آخر محتمل لالتزامات Twitter الخاصة بلجنة التجارة الفيدرالية - وهو موقف خطير للغاية بالنسبة لشركة ومديريها التنفيذيين ، وفقًا لجون ليبوفيتز ، الذي كان رئيسًا للجنة التجارة الفيدرالية في وقت تسوية Twitter لعام 2011.
وقال ليبوفيتز لشبكة سي إن إن في مقابلة: "إذا كانت الحقائق صحيحة ، فإنها ستشكل انتهاكات للنظام ولقانون لجنة التجارة الفيدرالية - وهذا من شأنه أن يجعل تويتر خاسرًا ثلاث مرات". "لن يكون هناك سبب يمنع FTC من إلقاء الكتاب عليهم." وأضاف ليبوفيتز ، بالطبع ، أن لجنة التجارة الفيدرالية ستحتاج إلى إجراء تحقيق شامل أولاً لتحديد ما إذا كان قد حدث انتهاك جديد.
قال السناتور ريتشارد بلومنتال ، رئيس اللجنة الفرعية لحماية المستهلك في مجلس الشيوخ والمدعي العام السابق لولاية كونيتيكت ، في بيان يوم الثلاثاء أن إفصاحات زاتكو "تكشف أن المسؤولية عن إخفاقات تويتر الأمنية تقع على عاتق من هم في القمة".
كما حث لجنة التجارة الفيدرالية في خطاب على التحقيق في الادعاءات ، قائلاً إنه يجب على المسؤولين فرض غرامة على المسؤولين التنفيذيين في تويتر ومحاسبتهم شخصيًا إذا تبين أنهم مسؤولون عن انتهاكات قانون FTC أو أمر الموافقة الخاص بتويتر. وقال بلومنتال في الخطاب ، الذي تم إرساله أيضًا إلى لجنة التجارة الفيدرالية يوم الثلاثاء ، إن مصداقية لجنة التجارة الفيدرالية على المحك.
وكتب بلومنتال: "إذا لم تشرف اللجنة بقوة على أوامرها وتنفذها ، فلن تؤخذ على محمل الجد وستستمر هذه الانتهاكات الخطيرة".
"لقد ساءت الأمور بشكل كبير"
بموجب ميثاقها ، يحق للجنة التجارة الفيدرالية مقاضاة "الأعمال والممارسات غير العادلة أو الخادعة". في عصر الإنترنت ، كان هذا يعني بشكل متزايد ملاحقة الشركات التي تدعي حماية المعلومات الرقمية للمستهلكين ولكنها في الواقع تفشل في الالتزام بمطالبهم العامة أو تحريف تلك الحماية.
نشأت تسوية Twitter الأصلية لعام 2011 من اثنين من الحوادث المزعومة حيث تمكن المتسللون من اختراق كلمات مرور الموظفين الضعيفة وإساءة استخدام وصولهم للاستيلاء على حسابات Twitter والتطفل على المعلومات الخاصة ، على الرغم من تصريحات Twitter العامة بشأن حماية خصوصية المستخدم وأمنه.
لم تكن تسوية تويتر اعترافًا بارتكاب مخالفات. لكن ذلك مطلوب Twitter لإنشاء "برنامج شامل لأمن المعلومات مصمم بشكل معقول لحماية أمن وخصوصية وسرية وسلامة معلومات المستهلك غير العامة" - وهو التزام يدعي Zatko أنه لم يتم الوفاء به مطلقًا.
كجزء من التسوية الأخيرة للجنة التجارة الفيدرالية (FTC) هذا العام ، التزم تويتر بمزيد من الالتزامات الدقيقة للأمن السيبراني بما في ذلك وجود "سياسات وضوابط وصول" لجميع قواعد البيانات التي تحتوي على بيانات المستخدم ، وكذلك للأنظمة التي تمنح الموظفين حق الوصول إلى حسابات تويتر أو التي لديها معلومات التي "تمكن أو تسهل" الوصول إلى أنظمة Twitter الداخلية. هذه الالتزامات سارية المفعول بالفعل بعد توقيع القاضي على الأمر هذا الربيع ، مما يزيد من التعرض القانوني المحتمل لتويتر.
على الرغم من المتطلبات التنظيمية المتزايدة لتويتر ، يزعم زاتكو أنه لم يتغير الكثير في الشركة منذ الشكوى الأولية للجنة التجارة الفيدرالية منذ أكثر من عقد.
ويزعم إفصاحه للكونجرس أن "الأمور ساءت بالفعل بشكل كبير". يدعي الإفصاح أنه حتى عندما كان تويتر يتفاوض بنشاط على التسوية الثانية مع لجنة التجارة الفيدرالية العام الماضي ، سمحت الشركة ، في حادثة منفصلة تمامًا ، بتكرار نفس النوع من إساءة استخدام البيانات لأغراض الدعاية.
ردًا على أكثر من 50 سؤالًا محددًا من CNN تتعلق بالإفشاء ، لم يتعامل Twitter مع ادعاء Zatko المحيط بهذا الحادث. لقد أقرت بأن فرق الهندسة والمنتج لديها قادرة على الوصول إلى بيئة الإنتاج الحية في Twitter بشرط أن يكون لديها مبرر عمل محدد ، مضيفة أن أعضاء الأقسام الأخرى - مثل المالية والقانونية والتسويق والمبيعات والموارد البشرية والدعم - لا يمكنهم ذلك. أخبر Twitter أيضًا CNN أنه يتم فحص أجهزة كمبيوتر الموظفين تلقائيًا لتحديد ما إذا كانت محدثة ، وتلك التي تفشل في عمليات الفحص لا يمكنها الاتصال بالإنتاج.
إمكانية تسوية أو دعوى جديدة
قد تكون مخاطر الكشف كبيرة للغاية. قد يؤدي اكتشاف لجنة التجارة الفيدرالية أن تويتر انتهك أمرها للمرة الثالثة إلى أقسى العقوبات التي فرضتها الوكالة على الشركة على الإطلاق. كما تترأس لجنة التجارة الفيدرالية حاليًا لينا خان أ متشككًا صريحًا في منصات التكنولوجيا وما تسميه صناعة "المراقبة التجارية" التي تستفيد من تراخي قواعد الخصوصية الوطنية. في عهد خان ، تدرس FTC الصياغة قوانين خصوصية شاملة جديدة يمكن أن تؤثر بشكل مباشر على الشركات عبر الاقتصاد ، بما في ذلك Twitter ، وكيفية جمعها للبيانات الشخصية واستخدامها ومشاركتها.
إذا خلصت لجنة التجارة الفيدرالية إلى حدوث انتهاك ، فسيكون لديها خياران رئيسيان لمحاسبة تويتر ، كما يقول مسؤولو الوكالة السابقون. قد تسعى إلى تسوية ثالثة مع الشركة ، أو يمكنها مقاضاة تويتر بشأن أوامر الموافقة الحالية وتطلب من المحكمة العقوبات المناسبة.
في حالة التسوية ، يمكن أن تسعى لجنة التجارة الفيدرالية (FTC) حتى إلى تسمية المديرين التنفيذيين الأفراد - تحميلهم المسؤولية الشخصية وإجبارهم على قبول الالتزامات على سلوكهم الخاص والتي يمكن تحميلهم المسؤولية عنها إذا انتهكوا هم أو الشركة الأمر مرة أخرى.
قال ليبوفيتز إنه إذا تبين أن تويتر انتهك التزاماته القانونية ، فيجب على لجنة التجارة الفيدرالية أن "تفكر بجدية كبيرة في ... وضع المديرين التنفيذيين المسؤولين تحت النظام".
وأضاف أن مجرد التهديد بتسمية المديرين التنفيذيين يمكن أن يكون فعالاً. خلال الفترة التي قضاها كرئيس للجنة التجارة الفيدرالية ، يتذكر ليبوفيتز ، "لا يمكنني إخبارك بعدد الرؤساء التنفيذيين الذين جاءوا إلى مكتبي قائلين ،" من فضلك لا تذكرني. أنا فقط لا أريد أن أذكر اسمي. لا أمانع إذا دفعت المزيد من المال ؛ لا أمانع إذا تم وضع شركتي تحت أمر أقوى. لكنني فقط لا أريد أن أذكر اسمي ".
قالت ميجان جراي ، محامية تنفيذية سابقة للجنة التجارة الفيدرالية ، عملت في بعض أكبر قضايا الخصوصية للوكالة ، إن الأدوات الموجودة تحت تصرف لجنة التجارة الفيدرالية عديدة. (تحدثت شبكة سي إن إن إلى جراي قبل نشر مزاعم زاتكو علنًا ودون الكشف عن وجودها ، ثم مرة أخرى يوم الثلاثاء بعد أن أبلغت سي إن إن وواشنطن بوست عن إفشاء زاتكو).
قال جراي "تصاعد الغرامات ، والمزيد من تقارير الامتثال ، والمزيد من الضوابط الدقيقة والقيود على خطوط أعمالهم" ، ووضع علامة على قائمة الخيارات. "أو شرط الحصول على موافقة مسبقة للإعلانات من قبل الوكالة ، أو استبعادها من أنواع معينة من المعاملات".
وكالة في حاجة إلى المزيد من الأدوات لمحاسبة الشركات
استشهد موقع Twitter بعمليات تدقيق الجهات الخارجية كدليل على دعمه لالتزامات لجنة التجارة الفيدرالية (FTC). ولكن بشكل عام ، فإن الطريقة التي تعمل بها متطلبات تدقيق لجنة التجارة الفيدرالية في كثير من الأحيان في الممارسة العملية يمكن أن تترك الشركات تفلت من مأزقها بسهولة ، كما قال جراي.
على سبيل المثال ، تتم كتابة العديد من أوامر لجنة التجارة الفيدرالية على نطاق واسع بما يكفي للسماح للشركة بالوفاء بالتزاماتها بناءً على ، من بين أمور أخرى ، "شهادات" بأنها متوافقة - وعد الخنصر ، كما قال جراي لشبكة CNN. في التقارير المقدمة إلى لجنة التجارة الفيدرالية (FTC) ، قد تقول الشركات التي تجري عمليات تدقيق من طرف ثالث ببساطة ، أو تستشهد ببيانات صادرة عن الشركة قيد المراجعة ، أن الشركة في حالة امتثال.
من عام 2011 حتى عام 2022 ، سمح أمر الموافقة الخاص بتويتر مع لجنة التجارة الفيدرالية (FTC) بتقارير التدقيق بناءً على الشهادات. بعد ذلك ، في تسويتها الثانية هذا العام ، جعلت لجنة التجارة الفيدرالية (FTC) متطلبات التدقيق أكثر تحديدًا ، ومنعت مدققي الطرف الثالث في تويتر من الاعتماد "بشكل أساسي" على شهادات من إدارة تويتر.
وقال جراي إنه حتى مع وجود هذه الأنواع من القيود ، لا تزال هناك أسباب تدعو للتشكيك في تقارير تدقيق لجنة التجارة الفيدرالية. وقالت إن ذلك لأن مدققي الحسابات الخارجيين لا يتلقون رواتبهم من قبل لجنة التجارة الفيدرالية ، ولكن من قبل الشركات التي يتم تدقيقها.
وأضاف جراي: "لذا فإن الحوافز خارجة عن السيطرة تمامًا بالنسبة لشركات التدقيق".
أخبر تويتر شبكة CNN أن عمليات التدقيق ليست سوى واحدة من برامج الخصوصية والأمان التي يتعين على تويتر الوفاء بالتزاماتها تجاه لجنة التجارة الفيدرالية (FTC).
دفع العديد من مسؤولي FTC الحاليين والسابقين ، بالإضافة إلى المشرعين الأمريكيين ودعاة المستهلك ، لمنح FTC المزيد من الأدوات لمحاسبة الشركات ، خاصة بعد المحكمة العليا العام الماضي مطروحين قدرة الوكالة على السعي للحصول على إعفاء نقدي في ظل بعض الظروف.
بعض أنصار تشديد الرقابة دعا إلى ، على سبيل المثال ، السماح لـ FTC بإصدار غرامات للشركات عن انتهاكات قانون FTC لأول مرة. في الوقت الحالي ، قد تسعى لجنة التجارة الفيدرالية بشكل عام فقط إلى فرض عقوبات مدنية على الشركة بعد أن تكون قد انتهكت تسوية مسبقة.
قال مسؤول سابق آخر في لجنة التجارة الفيدرالية ، تحدث شريطة عدم الكشف عن هويته من أجل التحدث بصراحة أكثر ، في حالة Twitter ، قد يبدو التفاوض على أمر الموافقة للمرة الثالثة وكأنه نظرة غريبة. ولكن في حالة اكتشافها انتهاكًا ، وكما هو الحال مع أي قضية ، ستحتاج لجنة التجارة الفيدرالية (FTC) إلى تقييم ما تعتقد أنه يمكنها الحصول عليه من Twitter من خلال تسوية ضد ما قد تتمكن الوكالة من الفوز به من محكمة ابتدائية.
قال المسؤول السابق إن هناك مخاطر من التقاضي الطويل والمطول ، حيث قد تمنح المحكمة في الواقع أقل من لجنة التجارة الفيدرالية.
قال المسؤول السابق: "يعتقد بعض الناس أن هذه الأوامر ليست شيئًا ما ، لكنهم ليسوا كذلك. ربما تكون كذلك في بعض الحالات ، والشركات لا تأخذها على محمل الجد. لكن في كثير من الحالات يفعلون ذلك ، ويمكن للجنة التجارة الفيدرالية أن تسبب الكثير من الألم. الكثير من الألم ".
The-CNN-Wire ™ & © 2022 Cable News Network، Inc. ، إحدى شركات اكتشاف Warner Bros. كل الحقوق محفوظة.
