توییتر در مقابل فدرال‌رزروها: غول اجتماعی چقدر درگیر مشکلات است؟

به گفته کارشناسان حقوقی و مقامات سابق فدرال، افشای افشاگر انفجاری توسط رئیس سابق امنیت توییتر در این هفته، این شرکت را در معرض تحقیقات جدید فدرال و احتمالاً میلیاردها دلار جریمه، تعهدات نظارتی سخت‌تر یا مجازات‌های دیگر از سوی دولت ایالات متحده قرار می‌دهد.

توییتر با خطرات حقوقی فوق‌العاده‌ای مواجه است که ناشی از افشای افشاگر توسط Peiter "Mudge" Zatko است که ادعا می‌کند در یک افشای نزدیک به 200 صفحه به مقامات که شرکت مملو از نقایص امنیت اطلاعات است - و اینکه در برخی موارد مدیران آن هیئت مدیره خود و مردم را در مورد شرایط شرکت گمراه کرده اند، در صورتی که کلاهبرداری آشکار انجام نشده باشد.

توییتر زاتکو را که از نوامبر 2020 در این شرکت کار می کرد تا زمانی که در ژانویه امسال اخراج شد به دلیل عملکرد ضعیفش، متهم کرده است که «روایتی نادرست درباره توییتر و شیوه‌های حریم خصوصی و امنیت داده‌های ما که مملو از ناسازگاری‌ها و نادرستی‌ها است، ارائه می‌کند. فاقد زمینه مهم است.» زاتکو یک متخصص امنیت سایبری بسیار مورد توجه است که تجربه در نقش‌های ارشد در گوگل، استرایپ و وزارت دفاع دارد. افشای افشاگری او اولین بار توسط CNN و واشنگتن پست در روز سه شنبه گزارش شد.

مطابق با توافقنامه حفظ حریم خصوصی FTC در سال 2011

در افشای اطلاعات خود به دولت ایالات متحده، زاتکو ادعا می کند که توییتر در وضعیت امنیت سایبری خود از "نقص های فاحش" رنج می برد، به طور عمدی رگولاتورها را در مورد رسیدگی به داده های کاربران گمراه می کند و این شرکت به تعهدات خود بر اساس یک قانون عمل نمی کند. حل و فصل حریم خصوصی 2011 با کمیسیون تجارت فدرال - یک دستور قانونی الزام آور که از جمله موارد دیگر، مستلزم ایجاد "ضمانت های معقول" برای محافظت از اطلاعات شخصی کاربران است. FTC از اظهار نظر در مورد این افشای اطلاعات خودداری کرد.

افشای اهانت آمیز Zatko ادعا می کند که تقریباً نیمی از کارمندان توییتر، از جمله تمام مهندسان آن، دسترسی داخلی بیش از حد به محصول زنده این شرکت، که در داخل شرکت به عنوان "تولید" شناخته می شود، همراه با داده های واقعی کاربر دارند. همچنین ادعا می‌کند که این شرکت توانایی دفاع در برابر تهدیدات داخلی، دولت‌های خارجی و نشت تصادفی داده‌ها را ندارد.

در این افشاگری آمده است: "یک اصل اساسی مهندسی و امنیتی این است که دسترسی به محیط های تولید زنده باید تا حد امکان محدود شود." اما در توییتر، مهندسان نرم‌افزار جدیدی را مستقیماً در حال تولید با دسترسی به داده‌های مستقیم مشتری و سایر اطلاعات حساس در سیستم توییتر ساختند، آزمایش کردند و توسعه دادند.»

افشاگر توییتر سیاست های بی پروا و سهل انگارانه امنیت سایبری را مدعی است

توییتر با استناد به ممیزی های شخص ثالث که تحت دستور رضایت در سال 2011 به آژانس ارسال شده است، به سی ان ان گفته است که سابقه مطابقت با FTC خود گویای این موضوع است. توییتر اضافه کرد که با مقررات مربوط به حفظ حریم خصوصی مطابقت دارد و در مورد تلاش‌هایش برای رفع هرگونه نقص در سیستم‌هایش با قانون‌گذاران شفاف بوده است. توییتر گفت که زاتکو در کار حسابرسی شرکت نکرده و به طور کامل تعهدات FTC توییتر یا نحوه اجرای این شرکت را درک نکرده است.

این افشاگری ادعا می‌کند که کارکنان زاتکو از نزدیک با مسائل توییتر قبل از FTC آشنا بودند و این آنها بودند که به زاتکو گفتند توییتر هرگز مطابق با دستور سال 2011 نبوده و در مسیری قرار ندارد که مطابقت داشته باشد.

جان تای، وکیل زاتکو و بنیانگذار Whistleblower Aid، سازمانی که او را نمایندگی می کند، به سی ان ان گفت: «ما کاملاً بر محتوای افشای ماج می ایستیم.

زاتکو ممکن است واجد شرایط دریافت جایزه پولی از سوی دولت ایالات متحده به دلیل فعالیت های افشاگر خود باشد. SEC اعلام کرده است که «اطلاعات اصلی، به موقع و معتبر که منجر به یک اقدام اجرایی موفقیت‌آمیز می‌شود» توسط SEC می‌تواند باعث کاهش 30 درصدی جریمه‌های آژانس مربوط به اقدام شود، در صورتی که جریمه‌ها بیش از 1 میلیون دلار باشد. SEC از سال 1 تاکنون بیش از 270 میلیارد دلار به بیش از 2012 افشاگر اعطا کرده است.

تای گفت که زاتکو افشای خود را به SEC "برای کمک به آژانس در اجرای قوانین" و برای به دست آوردن حمایت از افشاگران فدرال ارائه کرد. "چشم انداز پاداش عاملی در تصمیم ماج نبود، و در واقع او حتی از برنامه پاداش زمانی که تصمیم گرفت به یک افشاگر قانونی تبدیل شود، اطلاعی نداشت."

افشای افشاگر ماه ها پس از FTC صورت می گیرد اتهامات خود را مطرح کرد که توییتر از اطلاعات امنیتی حساب برای مقاصد تبلیغاتی سوء استفاده کرده و خلاف دستور سال 2011 است. توییتر با پرداخت 150 میلیون دلار موافقت کرد در ماه مه برای حل و فصل این ادعاها، در تسویه حساب دوم FTC.

اکنون، افشای زاتکو دورنمای نقض احتمالی دیگری از تعهدات FTC توییتر را افزایش می‌دهد - به گفته جان لیبوویتز، که در زمان تسویه حساب توییتر در سال 2011، رئیس FTC بود، موقعیتی فوق‌العاده خطرناک برای یک شرکت و مدیران آن.

لیبوویتز در مصاحبه‌ای به سی‌ان‌ان گفت: «اگر واقعیت‌ها درست باشند، نقض قوانین و قانون FTC هستند و این امر باعث می‌شود توییتر سه بار بازنده شود.» دلیلی وجود ندارد که FTC کتاب را به سمت آنها پرتاب نکند.» البته، لیبوویتز افزود، FTC باید ابتدا تحقیقات کاملی را انجام دهد تا خودش مشخص کند که آیا نقض جدیدی رخ داده است یا خیر.

سناتور ریچارد بلومنتال، رئیس کمیته فرعی سنا در مورد حمایت از مصرف کننده و دادستان کل سابق کانکتیکات، روز سه شنبه در بیانیه ای گفت که افشای زاتکو "نشان می دهد که مسئولیت شکست های امنیتی توییتر بر عهده افرادی است که در راس آنها قرار دارند."

وی همچنین در نامه‌ای از FTC خواست تا این اتهامات را بررسی کند و گفت که مقامات باید مدیران توییتر را جریمه کنند و شخصاً پاسخگو باشند اگر مشخص شود که آنها مسئول نقض قانون FTC یا دستور رضایت توییتر هستند. بلومنتال در نامه ای که روز سه شنبه به FTC نیز ارسال شد، گفت: اعتبار خود FTC در خط است.

بلومنتال نوشت: "اگر کمیسیون به شدت بر دستورات خود نظارت و اجرا نکند، آنها جدی گرفته نخواهند شد و این نقض های خطرناک ادامه خواهند داشت."

"واقعاً اوضاع بدتر شد"

طبق منشور خود، FTC مجاز است «اقدامات و اقدامات تجاری ناعادلانه یا فریبنده» را تحت پیگرد قانونی قرار دهد. در عصر اینترنت، این به طور فزاینده ای به معنای دنبال کردن شرکت هایی است که ادعا می کنند از اطلاعات دیجیتالی مصرف کنندگان محافظت می کنند، اما در واقع نمی توانند به ادعاهای عمومی خود عمل کنند یا این حمایت ها را نادرست معرفی می کنند.

تسویه حساب اولیه توییتر در سال 2011 ناشی از دو حادثه ادعایی به‌رغم اظهارات عمومی توییتر مبنی بر حفظ حریم خصوصی و امنیت کاربران، هکرها توانستند رمزهای عبور ضعیف کارمندان را به خطر بیاندازند و از دسترسی آنها برای تسخیر حساب‌های توییتر و ردیابی اطلاعات خصوصی سوء استفاده کنند.

تسویه حساب توییتر اعتراف به اشتباه نبود. اما آن ضروری توییتر برای ایجاد «یک برنامه جامع امنیت اطلاعات که به طور معقولی برای محافظت از امنیت، حریم خصوصی، محرمانه بودن و یکپارچگی اطلاعات غیرعمومی مصرف کننده طراحی شده است» - تعهدی که زاتکو ادعا می کند هرگز رعایت نشده است.

به عنوان بخشی از آخرین تسویه حساب FTC در سال جاری، توییتر متعهد شد به تعهدات امنیتی سایبری حتی دقیق‌تر از جمله داشتن «سیاست‌ها و کنترل‌های دسترسی» برای همه پایگاه‌های اطلاعاتی حاوی داده‌های کاربر، و همچنین برای سیستم‌هایی که به کارمندان اجازه دسترسی به حساب‌های توییتر یا اطلاعاتی را می‌دهند. که دسترسی به سیستم های داخلی توییتر را "فعال یا تسهیل می کند". این تعهدات در حال حاضر پس از امضای حکم توسط قاضی در بهار امسال اعمال می‌شوند و این امر باعث افزایش بیشتر قرار گرفتن در معرض قانونی برای توییتر می‌شود.

علیرغم افزایش الزامات قانونی توییتر، زاتکو ادعا می کند که از زمان شکایت اولیه FTC بیش از یک دهه پیش، تغییرات زیادی در این شرکت ایجاد نشده است.

افشاگری او به کنگره ادعا می‌کند: «چیزها واقعاً بدتر شدند». افشاگری ادعا می کند که حتی زمانی که توییتر به طور فعال در حال مذاکره برای حل و فصل دوم با FTC در سال گذشته بود، این شرکت در یک حادثه کاملاً جداگانه اجازه داد همان نوع سوء استفاده از داده ها برای اهداف تبلیغاتی تکرار شود.

توییتر در پاسخ به بیش از 50 سوال خاص از CNN در رابطه با افشای این خبر، به ادعای زاتکو درباره آن حادثه توجهی نکرد. این شرکت اذعان کرد که تیم‌های مهندسی و محصولاتش می‌توانند به محیط تولید زنده توییتر دسترسی داشته باشند، مشروط بر اینکه توجیه تجاری خاصی داشته باشند، و افزود که اعضای سایر بخش‌ها - مانند امور مالی، حقوقی، بازاریابی، فروش، منابع انسانی و پشتیبانی - نمی‌توانند. توییتر همچنین به سی‌ان‌ان گفت که رایانه‌های کارمندان به‌طور خودکار بررسی می‌شوند تا مشخص شود که آیا به‌روز هستند یا خیر، و آن‌هایی که در بررسی‌ها ناموفق هستند، نمی‌توانند به تولید متصل شوند.

بالقوه برای تسویه حساب یا کت و شلوار جدید

خطرات افشا می تواند بسیار مهم باشد. یافته‌های FTC مبنی بر اینکه توییتر برای بار سوم دستور خود را نقض کرده است، می‌تواند منجر به سخت‌ترین مجازات‌هایی شود که این آژانس تاکنون علیه این شرکت اعمال کرده است. FTC همچنین در حال حاضر توسط لینا خان، a بدبین صوتی به پلتفرم های فناوری و از آنچه که او صنعت "نظارت تجاری" می نامد که از قوانین ضعیف حریم خصوصی ملی سود می برد. در زمان خان، FTC در حال بررسی پیش نویس است قوانین جدید حریم خصوصی که می تواند به طور مستقیم بر شرکت ها در سراسر اقتصاد، از جمله توییتر، و نحوه جمع آوری، استفاده و اشتراک گذاری داده های شخصی تأثیر بگذارد.

مقامات سابق آژانس می گویند، اگر FTC به این نتیجه برسد که تخلفی رخ داده است، دو گزینه اصلی برای پاسخگویی توییتر خواهد داشت. ممکن است به دنبال حل و فصل سوم با شرکت باشد، یا می‌تواند از توییتر به خاطر دستورهای رضایت موجود شکایت کند و از دادگاه درخواست مجازات‌های مناسب را بکند.

در صورت تسویه حساب، FTC حتی می‌تواند به دنبال نام بردن از مدیران اجرایی باشد - آنها را شخصاً پاسخگو می‌داند و آنها را مجبور می‌کند که تعهداتی را در مورد رفتار خود بپذیرند که در صورت نقض مجدد آن یا شرکت، می‌توانند مسئول آن باشند.

لیبوویتز گفت، اگر مشخص شود که توییتر تعهدات قانونی خود را نقض کرده است، FTC باید "به طور جدی به این فکر کند که مدیران اجرایی را در دستور کار قرار دهد."

وی افزود: تهدید صرف نام بردن از مدیران اجرایی می تواند موثر باشد. لایبوویتز در دورانی که رئیس FTC بود، به یاد می آورد: «نمی توانم به شما بگویم که چند مدیر اجرایی به دفتر من آمدند و گفتند: لطفاً نام من را نبرید. من فقط نمی خواهم نام ببرم. برایم مهم نیست که پول بیشتری بپردازم. من اهمیتی نمی دهم اگر شرکت من تحت دستور قوی تری قرار گیرد. اما من فقط نمی خواهم نامی از من برده شود.»

مگان گری، وکیل اجرایی سابق FTC که روی برخی از بزرگترین پرونده های حفظ حریم خصوصی آژانس کار کرده است، گفت که ابزارهایی که FTC در اختیار دارد متعدد است. (سی ان ان قبل از علنی شدن ادعاهای زاتکو و بدون افشای وجود آنها با گری صحبت کرد، و سپس دوباره روز سه شنبه پس از اینکه سی ان ان و واشنگتن پست افشای زاتکو را گزارش کردند.)

گری گفت: «افزایش جریمه‌ها، گزارش‌های انطباق بیشتر، کنترل‌های دقیق‌تر و محدودیت‌ها در خطوط کسب‌وکار آن‌ها». "یا الزام به دریافت تبلیغات از قبل تایید شده توسط آژانس یا مستثنی کردن آنها از انواع خاصی از معاملات."

آژانسی که به ابزارهای بیشتری برای پاسخگویی شرکت ها نیاز دارد

توییتر به ممیزی های شخص ثالث خود به عنوان مدرکی مبنی بر پایبندی به تعهدات FTC خود اشاره کرده است. گری گفت، اما به طور کلی، روشی که الزامات حسابرسی FTC اغلب در عمل عمل می کند، می تواند شرکت ها را به راحتی از قلاب خارج کند.

گری به CNN گفت، برای مثال، بسیاری از دستورات FTC به اندازه کافی گسترده نوشته شده اند تا به یک شرکت اجازه دهند تعهدات خود را بر اساس، از جمله موارد دیگر، "تأییداتی" مبنی بر مطابقت آنها انجام دهد - یک قول کوچک. در گزارش‌هایی به FTC، شرکت‌هایی که ممیزی‌های شخص ثالث را انجام می‌دهند ممکن است به سادگی بگویند یا به اظهارات شرکت تحت حسابرسی استناد کنند که شرکت مطابقت دارد.

از سال 2011 تا 2022، دستور موافقت توییتر با FTC اجازه می داد تا گزارش های حسابرسی بر اساس گواهینامه ها ارائه شود. سپس، در دومین تسویه حساب خود در سال جاری، FTC الزامات حسابرسی را مشخص‌تر کرد و حسابرسان شخص ثالث توییتر را از تکیه «در درجه اول» به گواهی‌های مدیریت توییتر منع کرد.

گری گفت، حتی با وجود این نوع محدودیت‌ها، هنوز دلایلی برای شک و تردید نسبت به گزارش‌های حسابرسی FTC وجود دارد. او گفت که به این دلیل است که حسابرسان شخص ثالث نه توسط FTC، بلکه توسط شرکت هایی که حسابرسی می شوند، حقوق می گیرند.

گری اضافه کرد: «بنابراین مشوق‌ها برای شرکت‌های حسابرسی کاملاً از بین رفته است.

توییتر به سی‌ان‌ان گفت که ممیزی‌ها تنها یکی از برنامه‌های حفظ حریم خصوصی و امنیتی هستند که توییتر باید به تعهداتش در FTC عمل کند.

بسیاری از مقامات فعلی و سابق FTC، و همچنین قانونگذاران و حامیان مصرف کننده ایالات متحده، برای دادن ابزارهای بیشتری به FTC برای پاسخگویی به مشاغل، به ویژه پس از دادگاه عالی در سال گذشته، فشار آورده اند. زده شده توانایی آژانس برای گرفتن کمک های پولی تحت برخی شرایط.

برخی از طرفداران نظارت شدیدتر فراخوان داده اند، به عنوان مثال، اجازه دادن به FTC برای شرکت ها برای اولین بار نقض قانون FTC جریمه صادر کند. در حال حاضر، FTC به طور کلی ممکن است فقط به دنبال اعمال مجازات های مدنی برای یک شرکت باشد پس از اینکه تسویه حساب قبلی را نقض کرد.

یکی دیگر از مقامات سابق FTC که نخواست نامش فاش شود، گفت: در مورد توییتر، مذاکره در مورد حکم رضایت برای بار سوم ممکن است ظاهری عجیب به نظر برسد. اما در صورت مشاهده تخلف، و مانند هر مورد دیگر، FTC باید آنچه را که فکر می‌کند می‌تواند از توییتر از طریق توافق‌نامه به دست آورد، در مقابل آنچه آژانس می‌تواند از یک دادگاه بدوی به دست آورد، بسنجد.

این مقام سابق گفت که خطراتی برای دعوای قضایی طولانی و طولانی وجود دارد، جایی که دادگاه ممکن است در واقع FTC را کمتر صادر کند.

این مقام سابق گفت: «بعضی از مردم فکر می‌کنند که این دستورات چیزی نیست، اما اینطور نیست. شاید در برخی موارد چنین باشد و شرکت ها آنها را جدی نگیرند. اما در بسیاری از موارد این کار را انجام می دهند و FTC می تواند درد زیادی را تحمل کند. درد زیاد."

The-CNN-Wire™ & © 2022 Cable News Network, Inc.، یک شرکت Discovery Bros. تمامی حقوق محفوظ است.