En eksplosiv whistleblower-afsløring fra Twitters tidligere sikkerhedschef i denne uge udsætter virksomheden for nye føderale undersøgelser og potentielt milliarder af dollars i bøder, skærpede regulatoriske forpligtelser eller andre sanktioner fra den amerikanske regering, ifølge juridiske eksperter og tidligere føderale embedsmænd.
Twitter står over for enorme juridiske risici som følge af whistleblower-afsløringen af Peiter "Mudge" Zatko, der hævder i en næsten 200 siders afsløring til myndighederne, at virksomheden er fyldt med informationssikkerhedsbrister - og at dens direktører i nogle tilfælde har vildledt dens egen bestyrelse og offentligheden på virksomhedens forhold, hvis ikke begået direkte bedrageri.
Twitter har anklaget Zatko, der arbejdede i virksomheden fra november 2020, indtil han blev fyret i januar for, hvad Twitter siger var dårlig præstation, for at skubbe "en falsk fortælling om Twitter og vores privatlivs- og datasikkerhedspraksis, der er fyldt med uoverensstemmelser og unøjagtigheder og mangler vigtig kontekst.” Zatko er en højt anset cybersikkerhedsekspert med erfaring i ledende roller hos Google, Stripe og forsvarsministeriet. Hans whistleblower-afsløring blev først rapporteret af CNN og The Washington Post tirsdag.
Overholdelse af et FTC-privatlivsforlig fra 2011
I sin afsløring til den amerikanske regering hævder Zatko, at Twitter lider "væsentlige mangler" i sin cybersikkerhedsposition, bevidst vildledte regulatorer om sin håndtering af brugerdata, og at virksomheden ikke lever op til sine forpligtelser i henhold til en 2011 forlig om fortrolighed med Federal Trade Commission - en juridisk bindende ordre, der blandt andet kræver oprettelse af "rimelige sikkerhedsforanstaltninger" for at beskytte brugernes personlige oplysninger. FTC afviste at kommentere offentliggørelsen.
Zatkos fordømmende afsløring hævder, at omkring halvdelen af Twitter-ansatte, inklusive alle dets ingeniører, har overdreven intern adgang til virksomhedens live-produkt, kendt inden for virksomheden som "produktion", sammen med faktiske brugerdata. Det hævdes også, at virksomheden mangler evnen til at forsvare sig mod insidertrusler, udenlandske regeringer og utilsigtede datalæk.
"Et grundlæggende ingeniør- og sikkerhedsprincip er, at adgangen til levende produktionsmiljøer bør begrænses så meget som muligt," hedder det i afsløringen. "Men hos Twitter byggede, testede og udviklede ingeniører ny software direkte i produktion med adgang til live kundedata og andre følsomme oplysninger i Twitters system."
Twitter-whistleblower hævder hensynsløs og uagtsom cybersikkerhedspolitik
Twitter har fortalt CNN, at deres FTC-overholdelsesrekord taler for sig selv, med henvisning til tredjepartsrevisioner indgivet til agenturet i henhold til 2011-samtykkeordren. Twitter tilføjede, at det overholder relevante regler om beskyttelse af privatlivets fred, og at det har været gennemsigtigt med tilsynsmyndigheder om sine bestræbelser på at rette eventuelle mangler i sine systemer. Zatko deltog ikke i revisionsarbejdet og forstod ikke fuldt ud Twitters FTC-forpligtelser, eller hvordan virksomheden opfyldte dem, sagde Twitter.
Afsløringen hævder, at Zatkos personale var "indgående fortrolige" med Twitters problemer før FTC, og at det var dem, der fortalte Zatko, at Twitter aldrig var i overensstemmelse med ordren fra 2011, og heller ikke på vej til at blive kompatibel.
"Vi står absolut ved indholdet af Mudges afsløring," sagde John Tye, Zatkos advokat og grundlægger af Whistleblower Aid, organisationen, der repræsenterer ham, til CNN.
Zatko kan være berettiget til en pengebelønning fra den amerikanske regering som følge af hans whistleblower-aktiviteter. "Original, rettidig og troværdig information, der fører til en vellykket håndhævelseshandling" af SEC kan tjene whistleblowere på op til 30% reduktion af agenturets bøder relateret til handlingen, hvis sanktionerne beløber sig til mere end $1 million, har SEC sagt. SEC har tildelt mere end $1 milliard til mere end 270 whistleblowere siden 2012.
Zatko indgav sin afsløring til SEC "for at hjælpe agenturet med at håndhæve lovene," og for at opnå beskyttelse af føderale whistleblowere, sagde Tye. "Udsigten til en belønning var ikke en faktor i Mudges beslutning, og faktisk vidste han ikke engang om belønningsprogrammet, da han besluttede at blive en lovlig whistleblower."
Whistleblower-afsløringen kommer måneder efter FTC fremsat sine egne påstande at Twitter misbrugte kontosikkerhedsoplysninger til reklameformål i strid med 2011-bekendtgørelsen. Twitter aftalt at betale 150 millioner dollars i maj for at løse disse krav i et andet FTC-forlig.
Nu rejser Zatkos afsløring udsigten til endnu en mulig overtrædelse af Twitters FTC-forpligtelser - en ekstraordinært farlig position for en virksomhed og dens ledere at være i, ifølge Jon Leibowitz, som var formand for FTC på tidspunktet for Twitters forlig i 2011.
"Hvis kendsgerningerne er sande, ville de udgøre overtrædelser af ordenen og FTC-loven - og det ville gøre Twitter til en tredobbelt taber," sagde Leibowitz til CNN i et interview. "Der ville ikke være nogen grund for FTC til ikke at kaste bogen efter dem." Selvfølgelig, tilføjede Leibowitz, ville FTC først skulle foretage en grundig undersøgelse for selv at afgøre, om der er sket en ny krænkelse.
Senator Richard Blumenthal, formand for Senatets underudvalg for forbrugerbeskyttelse og en tidligere statsadvokat i Connecticut, sagde i en erklæring tirsdag, at Zatkos afsløringer "afslører, at ansvaret for Twitters sikkerhedsfejl påhviler dem i toppen."
Han opfordrede desuden FTC i et brev til at undersøge beskyldningerne og sagde, at embedsmænd skulle bøde og holde Twitter-ledere personligt ansvarlige, hvis det konstateres, at de var ansvarlige for overtrædelser af FTC-loven eller Twitters samtykkeordre. FTC's egen troværdighed er på spil, sagde Blumenthal i brevet, som også blev sendt til FTC tirsdag.
"Hvis Kommissionen ikke kraftigt overvåger og håndhæver sine ordrer, vil de ikke blive taget alvorligt, og disse farlige brud vil fortsætte," skrev Blumenthal.
“Tingene blev faktisk væsentligt værre”
I henhold til sit charter er FTC bemyndiget til at retsforfølge "uretfærdige eller vildledende forretningshandlinger og -praksis." I internetalderen har det i stigende grad betydet, at man går efter virksomheder, der hævder at beskytte forbrugernes digitale informationer, men som faktisk ikke lever op til deres offentlige påstande eller misviser disse beskyttelser.
Twitters oprindelige 2011-forlig opstod fra to påståede hændelser hvor hackere var i stand til at kompromittere svage medarbejderadgangskoder og misbruge deres adgang til at overtage Twitter-konti og snoge efter private oplysninger, på trods af Twitters offentlige udtalelser om beskyttelse af brugernes privatliv og sikkerhed.
Twitters forlig var ikke en indrømmelse af forseelser. Men det påkrævet Twitter for at skabe "et omfattende informationssikkerhedsprogram, der med rimelighed er designet til at beskytte sikkerheden, privatlivets fred, fortroligheden og integriteten af ikke-offentlige forbrugeroplysninger" - en forpligtelse Zatko hævder aldrig er blevet opfyldt.
Som en del af sit seneste FTC-forlig i år forpligtede Twitter sig til endnu mere detaljerede cybersikkerhedsforpligtelser, herunder at have "adgangspolitikker og kontroller" for alle databaser, der indeholder brugerdata, såvel som for systemer, der enten giver medarbejdere adgang til Twitter-konti, eller som har information der "aktiverer eller letter" adgang til interne Twitter-systemer. Disse forpligtelser er allerede i kraft efter en dommers underskrivelse af kendelsen i foråret, hvilket yderligere øger den potentielle juridiske eksponering for Twitter.
På trods af Twitters stigende lovkrav, hævder Zatko, at ikke meget har ændret sig i virksomheden siden FTC's første klage for mere end ti år siden.
"Tingene blev faktisk meningsfuldt værre," hævdes hans afsløring til Kongressen. Afsløringen hævder, at selv da Twitter aktivt forhandlede det andet forlig med FTC sidste år, tillod virksomheden, i en helt separat hændelse, den samme type misbrug af data til reklameformål at gentage sig.
Som svar på mere end 50 specifikke spørgsmål fra CNN i forbindelse med afsløringen, behandlede Twitter ikke Zatkos påstand om hændelsen. Det anerkendte, at dets ingeniør- og produktteam er i stand til at få adgang til Twitters live-produktionsmiljø, forudsat at de har en specifik forretningsbegrundelse, og tilføjede, at medlemmer af andre afdelinger - såsom økonomi, jura, marketing, salg, menneskelige ressourcer og support - ikke kan. Twitter fortalte også CNN, at medarbejdernes computere automatisk kontrolleres for at afgøre, om de er opdaterede, og de, der fejler kontrollen, kan ikke oprette forbindelse til produktionen.
Potentiale for ny bosættelse eller kulør
Indsatsen ved afsløringen kan være enormt betydelig. En FTC-konstatering af, at Twitter har overtrådt sin ordre en tredje gang, kan resultere i de hårdeste sanktioner, som agenturet nogensinde har pålagt virksomheden. FTC ledes også i øjeblikket af Lina Khan, en vokal skeptiker over for teknologiske platforme og af det, hun kalder en "kommerciel overvågningsindustri", der tjener på slappe nationale regler om privatliv. Under Khan overvejer FTC at udarbejde udkast gennemgribende nye regler om privatliv som direkte kan påvirke virksomheder på tværs af økonomien, herunder Twitter, og hvordan de indsamler, bruger og deler personlige data.
Skulle FTC konkludere, at en overtrædelse fandt sted, ville den have to hovedmuligheder for at holde Twitter ansvarlig, siger tidligere embedsmænd fra agenturet. Det kunne søge et tredje forlig med virksomheden, eller det kunne sagsøge Twitter over de eksisterende samtykkeordrer og bede en domstol om passende sanktioner.
I tilfælde af et forlig kan FTC endda søge at navngive individuelle ledere - holde dem personligt ansvarlige og tvinge dem til at acceptere forpligtelser på deres egen adfærd, som de kan holdes ansvarlige for, hvis de eller virksomheden overtræder ordren igen.
Hvis det viser sig, at Twitter har overtrådt sine juridiske forpligtelser, sagde Leibowitz, bør FTC "meget seriøst overveje ... at bringe de ansvarlige ledere i orden."
Alene truslen om at navngive individuelle ledere kan være effektiv, tilføjede han. I løbet af sin tid som FTC-formand huskede Leibowitz: "Jeg kan ikke fortælle dig, hvor mange administrerende direktører, der kom ind på mit kontor og sagde: 'Vær venlig at ikke navngive mig. Jeg vil bare ikke stå ved navn. Jeg har ikke noget imod, hvis jeg betaler flere penge; Jeg har ikke noget imod, hvis min virksomhed bliver sat under en stærkere ordre. Men jeg vil bare ikke stå ved navn.'”
Megan Gray, en tidligere FTC-håndhævelsesadvokat, der har arbejdet på nogle af agenturets største privatlivssager, sagde, at værktøjerne til FTC's rådighed er talrige. (CNN talte med Gray før Zatkos påstande blev offentlige og uden at afsløre deres eksistens, og så igen tirsdag, efter at CNN og The Washington Post rapporterede Zatkos afsløring.)
"Eskalerende bøder, flere overholdelsesrapporter, mere detaljerede kontroller og begrænsninger på deres brancher," sagde Gray og krydsede af en liste over muligheder. "Eller et krav om at få reklamer forhåndsgodkendt af bureauet eller udelukke dem fra visse typer transaktioner."
Et bureau med behov for flere værktøjer til at holde virksomheder ansvarlige
Twitter har citeret sine tredjepartsrevisioner som bevis på, at det har opretholdt sine FTC-forpligtelser. Men generelt kan den måde, som FTC's revisionskrav ofte fungerer på i praksis, slippe virksomhederne alt for let, sagde Gray.
For eksempel er mange FTC-ordrer skrevet bredt nok til at give et firma mulighed for at opfylde sine forpligtelser baseret på blandt andet "attestationer" om, at de er i overensstemmelse - et lille løfte, sagde Gray til CNN. I rapporter til FTC kan virksomheder, der udfører tredjepartsrevisioner, blot sige eller citere erklæringer fra virksomheden under revision, at virksomheden overholder reglerne.
Fra 2011 til 2022 tillod Twitters samtykkeordre hos FTC revisionsrapporter baseret på attester. Så, i sit andet forlig i år, gjorde FTC revisionskravene mere specifikke, hvilket forhindrede Twitters tredjepartsrevisorer i at stole "primært" på attester fra Twitters ledelse.
Selv med disse typer begrænsninger er der stadig grunde til at være skeptisk over for FTC-revisionsrapporter, sagde Gray. Det skyldes, at tredjepartsrevisorer ikke betales af FTC, men af de virksomheder, der bliver revideret, sagde hun.
"Så incitamenterne er helt ude af skygge for revisionsselskaberne," tilføjede Gray.
Twitter fortalte CNN, at revisioner kun er et af de privatlivs- og sikkerhedsprogrammer, Twitter har for at opfylde sine FTC-forpligtelser.
Mange nuværende og tidligere FTC-embedsmænd, såvel som amerikanske lovgivere og forbrugerfortalere, har presset på for at give FTC flere værktøjer til at holde virksomheder ansvarlige, især efter højesteret sidste år slået ned agenturets evne til at søge økonomisk hjælp under visse omstændigheder.
Nogle tilhængere af hårdere tilsyn har efterlyst, for eksempel at lade FTC udstede bøder til virksomheder for førstegangsovertrædelser af FTC-loven. I øjeblikket kan FTC generelt kun søge at pålægge en virksomhed civile sanktioner efter at det har overtrådt et tidligere forlig.
I tilfældet med Twitter kan det virke som et mærkeligt blik at forhandle en samtykkeordre for tredje gang, sagde en anden tidligere FTC-embedsmand, der talte på betingelse af anonymitet for at tale mere ærligt. Men i tilfælde af, at den finder en overtrædelse, og som i alle tilfælde, bliver FTC nødt til at afveje, hvad den mener, den kan få fra Twitter gennem et forlig, mod det, som agenturet kan vinde fra en retssag.
Der er risici ved lange, udstrakte retssager, hvor en domstol faktisk kan tildele FTC mindre, sagde den tidligere embedsmand.
"Nogle mennesker tror, at disse ordrer er sådan set ingenting," sagde den tidligere embedsmand, "men det er de ikke. Måske er de det i nogle tilfælde, og virksomhederne tager dem ikke alvorligt. Men i mange tilfælde gør de det, og FTC kan kræve megen smerte. Meget smerte."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., et Warner Bros. Discovery Company. Alle rettigheder forbeholdes.
