به گفته کارشناسان حقوقی و مقامات سابق فدرال، افشای افشاگر انفجاری توسط رئیس سابق امنیت توییتر در این هفته، این شرکت را در معرض تحقیقات جدید فدرال و احتمالاً میلیاردها دلار جریمه، تعهدات نظارتی سختتر یا مجازاتهای دیگر از سوی دولت ایالات متحده قرار میدهد.
توییتر با خطرات حقوقی فوقالعادهای مواجه است که ناشی از افشای افشاگر توسط Peiter "Mudge" Zatko است که ادعا میکند در یک افشای نزدیک به 200 صفحه به مقامات که شرکت مملو از نقایص امنیت اطلاعات است - و اینکه در برخی موارد مدیران آن هیئت مدیره خود و مردم را در مورد شرایط شرکت گمراه کرده اند، در صورتی که کلاهبرداری آشکار انجام نشده باشد.
توییتر زاتکو را که از نوامبر 2020 در این شرکت کار می کرد تا زمانی که در ژانویه امسال اخراج شد به دلیل عملکرد ضعیفش، متهم کرده است که «روایتی نادرست درباره توییتر و شیوههای حریم خصوصی و امنیت دادههای ما که مملو از ناسازگاریها و نادرستیها است، ارائه میکند. فاقد زمینه مهم است.» زاتکو یک متخصص امنیت سایبری بسیار مورد توجه است که تجربه در نقشهای ارشد در گوگل، استرایپ و وزارت دفاع دارد. افشای افشاگری او اولین بار توسط CNN و واشنگتن پست در روز سه شنبه گزارش شد.
مطابق با توافقنامه حفظ حریم خصوصی FTC در سال 2011
در افشای اطلاعات خود به دولت ایالات متحده، زاتکو ادعا می کند که توییتر در وضعیت امنیت سایبری خود از "نقص های فاحش" رنج می برد، به طور عمدی رگولاتورها را در مورد رسیدگی به داده های کاربران گمراه می کند و این شرکت به تعهدات خود بر اساس یک قانون عمل نمی کند. حل و فصل حریم خصوصی 2011 با کمیسیون تجارت فدرال - یک دستور قانونی الزام آور که از جمله موارد دیگر، مستلزم ایجاد "ضمانت های معقول" برای محافظت از اطلاعات شخصی کاربران است. FTC از اظهار نظر در مورد این افشای اطلاعات خودداری کرد.
افشای اهانت آمیز Zatko ادعا می کند که تقریباً نیمی از کارمندان توییتر، از جمله تمام مهندسان آن، دسترسی داخلی بیش از حد به محصول زنده این شرکت، که در داخل شرکت به عنوان "تولید" شناخته می شود، همراه با داده های واقعی کاربر دارند. همچنین ادعا میکند که این شرکت توانایی دفاع در برابر تهدیدات داخلی، دولتهای خارجی و نشت تصادفی دادهها را ندارد.
در این افشاگری آمده است: "یک اصل اساسی مهندسی و امنیتی این است که دسترسی به محیط های تولید زنده باید تا حد امکان محدود شود." اما در توییتر، مهندسان نرمافزار جدیدی را مستقیماً در حال تولید با دسترسی به دادههای مستقیم مشتری و سایر اطلاعات حساس در سیستم توییتر ساختند، آزمایش کردند و توسعه دادند.»
افشاگر توییتر سیاست های بی پروا و سهل انگارانه امنیت سایبری را مدعی است
توییتر با استناد به ممیزی های شخص ثالث که تحت دستور رضایت در سال 2011 به آژانس ارسال شده است، به سی ان ان گفته است که سابقه مطابقت با FTC خود گویای این موضوع است. توییتر اضافه کرد که با مقررات مربوط به حفظ حریم خصوصی مطابقت دارد و در مورد تلاشهایش برای رفع هرگونه نقص در سیستمهایش با قانونگذاران شفاف بوده است. توییتر گفت که زاتکو در کار حسابرسی شرکت نکرده و به طور کامل تعهدات FTC توییتر یا نحوه اجرای این شرکت را درک نکرده است.
این افشاگری ادعا میکند که کارکنان زاتکو از نزدیک با مسائل توییتر قبل از FTC آشنا بودند و این آنها بودند که به زاتکو گفتند توییتر هرگز مطابق با دستور سال 2011 نبوده و در مسیری قرار ندارد که مطابقت داشته باشد.
جان تای، وکیل زاتکو و بنیانگذار Whistleblower Aid، سازمانی که او را نمایندگی می کند، به سی ان ان گفت: «ما کاملاً بر محتوای افشای ماج می ایستیم.
زاتکو ممکن است واجد شرایط دریافت جایزه پولی از سوی دولت ایالات متحده به دلیل فعالیت های افشاگر خود باشد. SEC اعلام کرده است که «اطلاعات اصلی، به موقع و معتبر که منجر به یک اقدام اجرایی موفقیتآمیز میشود» توسط SEC میتواند باعث کاهش 30 درصدی جریمههای آژانس مربوط به اقدام شود، در صورتی که جریمهها بیش از 1 میلیون دلار باشد. SEC از سال 1 تاکنون بیش از 270 میلیارد دلار به بیش از 2012 افشاگر اعطا کرده است.
تای گفت که زاتکو افشای خود را به SEC "برای کمک به آژانس در اجرای قوانین" و برای به دست آوردن حمایت از افشاگران فدرال ارائه کرد. "چشم انداز پاداش عاملی در تصمیم ماج نبود، و در واقع او حتی از برنامه پاداش زمانی که تصمیم گرفت به یک افشاگر قانونی تبدیل شود، اطلاعی نداشت."
افشای افشاگر ماه ها پس از FTC صورت می گیرد اتهامات خود را مطرح کرد که توییتر از اطلاعات امنیتی حساب برای مقاصد تبلیغاتی سوء استفاده کرده و خلاف دستور سال 2011 است. توییتر با پرداخت 150 میلیون دلار موافقت کرد در ماه مه برای حل و فصل این ادعاها، در تسویه حساب دوم FTC.
اکنون، افشای زاتکو دورنمای نقض احتمالی دیگری از تعهدات FTC توییتر را افزایش میدهد - به گفته جان لیبوویتز، که در زمان تسویه حساب توییتر در سال 2011، رئیس FTC بود، موقعیتی فوقالعاده خطرناک برای یک شرکت و مدیران آن.
لیبوویتز در مصاحبهای به سیانان گفت: «اگر واقعیتها درست باشند، نقض قوانین و قانون FTC هستند و این امر باعث میشود توییتر سه بار بازنده شود.» دلیلی وجود ندارد که FTC کتاب را به سمت آنها پرتاب نکند.» البته، لیبوویتز افزود، FTC باید ابتدا تحقیقات کاملی را انجام دهد تا خودش مشخص کند که آیا نقض جدیدی رخ داده است یا خیر.
سناتور ریچارد بلومنتال، رئیس کمیته فرعی سنا در مورد حمایت از مصرف کننده و دادستان کل سابق کانکتیکات، روز سه شنبه در بیانیه ای گفت که افشای زاتکو "نشان می دهد که مسئولیت شکست های امنیتی توییتر بر عهده افرادی است که در راس آنها قرار دارند."
وی همچنین در نامهای از FTC خواست تا این اتهامات را بررسی کند و گفت که مقامات باید مدیران توییتر را جریمه کنند و شخصاً پاسخگو باشند اگر مشخص شود که آنها مسئول نقض قانون FTC یا دستور رضایت توییتر هستند. بلومنتال در نامه ای که روز سه شنبه به FTC نیز ارسال شد، گفت: اعتبار خود FTC در خط است.
بلومنتال نوشت: "اگر کمیسیون به شدت بر دستورات خود نظارت و اجرا نکند، آنها جدی گرفته نخواهند شد و این نقض های خطرناک ادامه خواهند داشت."
"واقعاً اوضاع بدتر شد"
طبق منشور خود، FTC مجاز است «اقدامات و اقدامات تجاری ناعادلانه یا فریبنده» را تحت پیگرد قانونی قرار دهد. در عصر اینترنت، این به طور فزاینده ای به معنای دنبال کردن شرکت هایی است که ادعا می کنند از اطلاعات دیجیتالی مصرف کنندگان محافظت می کنند، اما در واقع نمی توانند به ادعاهای عمومی خود عمل کنند یا این حمایت ها را نادرست معرفی می کنند.
تسویه حساب اولیه توییتر در سال 2011 ناشی از دو حادثه ادعایی بهرغم اظهارات عمومی توییتر مبنی بر حفظ حریم خصوصی و امنیت کاربران، هکرها توانستند رمزهای عبور ضعیف کارمندان را به خطر بیاندازند و از دسترسی آنها برای تسخیر حسابهای توییتر و ردیابی اطلاعات خصوصی سوء استفاده کنند.
تسویه حساب توییتر اعتراف به اشتباه نبود. اما آن ضروری توییتر برای ایجاد «یک برنامه جامع امنیت اطلاعات که به طور معقولی برای محافظت از امنیت، حریم خصوصی، محرمانه بودن و یکپارچگی اطلاعات غیرعمومی مصرف کننده طراحی شده است» - تعهدی که زاتکو ادعا می کند هرگز رعایت نشده است.
به عنوان بخشی از آخرین تسویه حساب FTC در سال جاری، توییتر متعهد شد به تعهدات امنیتی سایبری حتی دقیقتر از جمله داشتن «سیاستها و کنترلهای دسترسی» برای همه پایگاههای اطلاعاتی حاوی دادههای کاربر، و همچنین برای سیستمهایی که به کارمندان اجازه دسترسی به حسابهای توییتر یا اطلاعاتی را میدهند. که دسترسی به سیستم های داخلی توییتر را "فعال یا تسهیل می کند". این تعهدات در حال حاضر پس از امضای حکم توسط قاضی در بهار امسال اعمال میشوند و این امر باعث افزایش بیشتر قرار گرفتن در معرض قانونی برای توییتر میشود.
علیرغم افزایش الزامات قانونی توییتر، زاتکو ادعا می کند که از زمان شکایت اولیه FTC بیش از یک دهه پیش، تغییرات زیادی در این شرکت ایجاد نشده است.
افشاگری او به کنگره ادعا میکند: «چیزها واقعاً بدتر شدند». افشاگری ادعا می کند که حتی زمانی که توییتر به طور فعال در حال مذاکره برای حل و فصل دوم با FTC در سال گذشته بود، این شرکت در یک حادثه کاملاً جداگانه اجازه داد همان نوع سوء استفاده از داده ها برای اهداف تبلیغاتی تکرار شود.
توییتر در پاسخ به بیش از 50 سوال خاص از CNN در رابطه با افشای این خبر، به ادعای زاتکو درباره آن حادثه توجهی نکرد. این شرکت اذعان کرد که تیمهای مهندسی و محصولاتش میتوانند به محیط تولید زنده توییتر دسترسی داشته باشند، مشروط بر اینکه توجیه تجاری خاصی داشته باشند، و افزود که اعضای سایر بخشها - مانند امور مالی، حقوقی، بازاریابی، فروش، منابع انسانی و پشتیبانی - نمیتوانند. توییتر همچنین به سیانان گفت که رایانههای کارمندان بهطور خودکار بررسی میشوند تا مشخص شود که آیا بهروز هستند یا خیر، و آنهایی که در بررسیها ناموفق هستند، نمیتوانند به تولید متصل شوند.
بالقوه برای تسویه حساب یا کت و شلوار جدید
خطرات افشا می تواند بسیار مهم باشد. یافتههای FTC مبنی بر اینکه توییتر برای بار سوم دستور خود را نقض کرده است، میتواند منجر به سختترین مجازاتهایی شود که این آژانس تاکنون علیه این شرکت اعمال کرده است. FTC همچنین در حال حاضر توسط لینا خان، a بدبین صوتی به پلتفرم های فناوری و از آنچه که او صنعت "نظارت تجاری" می نامد که از قوانین ضعیف حریم خصوصی ملی سود می برد. در زمان خان، FTC در حال بررسی پیش نویس است قوانین جدید حریم خصوصی که می تواند به طور مستقیم بر شرکت ها در سراسر اقتصاد، از جمله توییتر، و نحوه جمع آوری، استفاده و اشتراک گذاری داده های شخصی تأثیر بگذارد.
مقامات سابق آژانس می گویند، اگر FTC به این نتیجه برسد که تخلفی رخ داده است، دو گزینه اصلی برای پاسخگویی توییتر خواهد داشت. ممکن است به دنبال حل و فصل سوم با شرکت باشد، یا میتواند از توییتر به خاطر دستورهای رضایت موجود شکایت کند و از دادگاه درخواست مجازاتهای مناسب را بکند.
در صورت تسویه حساب، FTC حتی میتواند به دنبال نام بردن از مدیران اجرایی باشد - آنها را شخصاً پاسخگو میداند و آنها را مجبور میکند که تعهداتی را در مورد رفتار خود بپذیرند که در صورت نقض مجدد آن یا شرکت، میتوانند مسئول آن باشند.
لیبوویتز گفت، اگر مشخص شود که توییتر تعهدات قانونی خود را نقض کرده است، FTC باید "به طور جدی به این فکر کند که مدیران اجرایی را در دستور کار قرار دهد."
وی افزود: تهدید صرف نام بردن از مدیران اجرایی می تواند موثر باشد. لایبوویتز در دورانی که رئیس FTC بود، به یاد می آورد: «نمی توانم به شما بگویم که چند مدیر اجرایی به دفتر من آمدند و گفتند: لطفاً نام من را نبرید. من فقط نمی خواهم نام ببرم. برایم مهم نیست که پول بیشتری بپردازم. من اهمیتی نمی دهم اگر شرکت من تحت دستور قوی تری قرار گیرد. اما من فقط نمی خواهم نامی از من برده شود.»
مگان گری، وکیل اجرایی سابق FTC که روی برخی از بزرگترین پرونده های حفظ حریم خصوصی آژانس کار کرده است، گفت که ابزارهایی که FTC در اختیار دارد متعدد است. (سی ان ان قبل از علنی شدن ادعاهای زاتکو و بدون افشای وجود آنها با گری صحبت کرد، و سپس دوباره روز سه شنبه پس از اینکه سی ان ان و واشنگتن پست افشای زاتکو را گزارش کردند.)
گری گفت: «افزایش جریمهها، گزارشهای انطباق بیشتر، کنترلهای دقیقتر و محدودیتها در خطوط کسبوکار آنها». "یا الزام به دریافت تبلیغات از قبل تایید شده توسط آژانس یا مستثنی کردن آنها از انواع خاصی از معاملات."
آژانسی که به ابزارهای بیشتری برای پاسخگویی شرکت ها نیاز دارد
توییتر به ممیزی های شخص ثالث خود به عنوان مدرکی مبنی بر پایبندی به تعهدات FTC خود اشاره کرده است. گری گفت، اما به طور کلی، روشی که الزامات حسابرسی FTC اغلب در عمل عمل می کند، می تواند شرکت ها را به راحتی از قلاب خارج کند.
گری به CNN گفت، برای مثال، بسیاری از دستورات FTC به اندازه کافی گسترده نوشته شده اند تا به یک شرکت اجازه دهند تعهدات خود را بر اساس، از جمله موارد دیگر، "تأییداتی" مبنی بر مطابقت آنها انجام دهد - یک قول کوچک. در گزارشهایی به FTC، شرکتهایی که ممیزیهای شخص ثالث را انجام میدهند ممکن است به سادگی بگویند یا به اظهارات شرکت تحت حسابرسی استناد کنند که شرکت مطابقت دارد.
از سال 2011 تا 2022، دستور موافقت توییتر با FTC اجازه می داد تا گزارش های حسابرسی بر اساس گواهینامه ها ارائه شود. سپس، در دومین تسویه حساب خود در سال جاری، FTC الزامات حسابرسی را مشخصتر کرد و حسابرسان شخص ثالث توییتر را از تکیه «در درجه اول» به گواهیهای مدیریت توییتر منع کرد.
گری گفت، حتی با وجود این نوع محدودیتها، هنوز دلایلی برای شک و تردید نسبت به گزارشهای حسابرسی FTC وجود دارد. او گفت که به این دلیل است که حسابرسان شخص ثالث نه توسط FTC، بلکه توسط شرکت هایی که حسابرسی می شوند، حقوق می گیرند.
گری اضافه کرد: «بنابراین مشوقها برای شرکتهای حسابرسی کاملاً از بین رفته است.
توییتر به سیانان گفت که ممیزیها تنها یکی از برنامههای حفظ حریم خصوصی و امنیتی هستند که توییتر باید به تعهداتش در FTC عمل کند.
بسیاری از مقامات فعلی و سابق FTC، و همچنین قانونگذاران و حامیان مصرف کننده ایالات متحده، برای دادن ابزارهای بیشتری به FTC برای پاسخگویی به مشاغل، به ویژه پس از دادگاه عالی در سال گذشته، فشار آورده اند. زده شده توانایی آژانس برای گرفتن کمک های پولی تحت برخی شرایط.
برخی از طرفداران نظارت شدیدتر فراخوان داده اند، به عنوان مثال، اجازه دادن به FTC برای شرکت ها برای اولین بار نقض قانون FTC جریمه صادر کند. در حال حاضر، FTC به طور کلی ممکن است فقط به دنبال اعمال مجازات های مدنی برای یک شرکت باشد پس از اینکه تسویه حساب قبلی را نقض کرد.
یکی دیگر از مقامات سابق FTC که نخواست نامش فاش شود، گفت: در مورد توییتر، مذاکره در مورد حکم رضایت برای بار سوم ممکن است ظاهری عجیب به نظر برسد. اما در صورت مشاهده تخلف، و مانند هر مورد دیگر، FTC باید آنچه را که فکر میکند میتواند از توییتر از طریق توافقنامه به دست آورد، در مقابل آنچه آژانس میتواند از یک دادگاه بدوی به دست آورد، بسنجد.
این مقام سابق گفت که خطراتی برای دعوای قضایی طولانی و طولانی وجود دارد، جایی که دادگاه ممکن است در واقع FTC را کمتر صادر کند.
این مقام سابق گفت: «بعضی از مردم فکر میکنند که این دستورات چیزی نیست، اما اینطور نیست. شاید در برخی موارد چنین باشد و شرکت ها آنها را جدی نگیرند. اما در بسیاری از موارد این کار را انجام می دهند و FTC می تواند درد زیادی را تحمل کند. درد زیاد."
The-CNN-Wire™ & © 2022 Cable News Network, Inc.، یک شرکت Discovery Bros. تمامی حقوق محفوظ است.