Jogi szakértők és volt szövetségi tisztviselők szerint a Twitter korábbi biztonsági vezetője a héten közzétette a robbanásveszélyes visszaélést, amely új szövetségi vizsgálatoknak és több milliárd dolláros pénzbírságnak, szigorúbb szabályozási kötelezettségeknek vagy egyéb szankcióknak teszi ki a vállalatot.
A Twittert óriási jogi kockázatok fenyegetik Peiter „Mudge” Zatko bejelentéséből adódóan, aki azt állítja, közel 200 oldalas közzététel a hatóságoknak, hogy a cég tele van információbiztonsági hibákkal – és egyes esetekben vezetői félrevezették saját igazgatótanácsát és a közvéleményt a cég állapotával kapcsolatban, ha nem is nyílt csalást követtek el.
A Twitter megvádolta Zatkot, aki 2020 novemberétől a cégnél dolgozott egészen idén januárig, mert a Twitter szerint gyenge teljesítményt nyújtott, hogy „hamis narratívát terjeszt a Twitterről, valamint adatvédelmi és adatbiztonsági gyakorlatunkról, amely tele van következetlenségekkel és pontatlanságokkal. hiányzik a fontos kontextus." Zatko nagyra becsült kiberbiztonsági szakértő, aki a Google, a Stripe és a Védelmi Minisztérium vezető beosztásaiban szerzett tapasztalattal rendelkezik. Bejelentő bejelentéséről először a CNN és a The Washington Post számolt be kedden.
Az FTC 2011. évi adatvédelmi egyezségének betartása
Az Egyesült Államok kormányának küldött közleményében Zatko azt állítja, hogy a Twitter „kirívó hiányosságokat” szenved a kiberbiztonsági helyzetében, szándékosan félrevezette a szabályozó hatóságokat a felhasználói adatok kezelésével kapcsolatban, és hogy a vállalat nem tesz eleget a szerződésben vállalt kötelezettségeinek. 2011-es adatvédelmi egyezség a Szövetségi Kereskedelmi Bizottsággal – egy jogilag kötelező érvényű végzés, amely többek között „ésszerű biztosítékok” létrehozását írja elő a felhasználók személyes adatainak védelme érdekében. Az FTC nem kívánta kommentálni a nyilvánosságra hozatalt.
Zatko elítélő nyilatkozata azt állítja, hogy a Twitter-alkalmazottak nagyjából fele, beleértve az összes mérnököt is, túlzott belső hozzáféréssel rendelkezik a vállalat élő termékéhez, amelyet a vállalaton belül „termelésnek” neveznek, a tényleges felhasználói adatokkal együtt. Azt is állítják, hogy a vállalat nem képes védekezni a bennfentes fenyegetésekkel, a külföldi kormányokkal és a véletlen adatszivárgással szemben.
„Alapvető mérnöki és biztonsági elv, hogy az élő gyártási környezetekhez való hozzáférést a lehető legnagyobb mértékben korlátozni kell” – áll a közleményben. "A Twitternél azonban a mérnökök új szoftvereket építettek, teszteltek és fejlesztettek ki közvetlenül a gyártás során, hozzáféréssel az élő ügyféladatokhoz és a Twitter rendszerében lévő egyéb érzékeny információkhoz."
A Twitter bejelentője meggondolatlan és hanyag kiberbiztonsági politikát állít
A Twitter azt mondta a CNN-nek, hogy az FTC-megfelelési eredményei magukért beszélnek, hivatkozva harmadik fél által az ügynökséghez benyújtott auditokra a 2011-es hozzájárulási rendelet alapján. A Twitter hozzátette, hogy megfelel a vonatkozó adatvédelmi előírásoknak, és átláthatóan tájékoztatta a szabályozó hatóságokat a rendszerei hiányosságainak kijavítására tett erőfeszítéseiről. Zatko nem vett részt az ellenőrzési munkában, és nem értette meg teljesen a Twitter FTC-kötelezettségeit, illetve azt, hogy a cég hogyan teljesíti azokat – közölte a Twitter.
A nyilvánosságra hozatal azt állítja, hogy Zatko munkatársai az FTC előtt „bensőségesen ismerték” a Twitter problémáit, és ők voltak azok, akik azt mondták, hogy a Twitter soha nem felelt meg a 2011-es rendeletnek, és nem is haladt azon, hogy megfeleljen.
„Teljesen kitartunk Mudge közzétételének tartalma mellett” – mondta a CNN-nek John Tye, Zatko ügyvédje és az őt képviselő Whistleblower Aid szervezet alapítója.
Zatko jogosult lehet az Egyesült Államok kormányának pénzbeli jutalmára a visszaélést bejelentő tevékenysége miatt. A SEC „eredeti, időszerű és hiteles információkkal, amelyek sikeres végrehajtási intézkedéshez vezetnek”, a visszaélést bejelentő személyek akár 30%-kal is csökkenthetik az akcióhoz kapcsolódó ügynökségi bírságot, ha a szankciók összege meghaladja az 1 millió dollárt – közölte a SEC. A SEC 1 óta több mint 270 milliárd dollárt ítélt oda több mint 2012 visszaélést bejelentőnek.
Zatko benyújtotta a nyilatkozatát a SEC-nek, hogy „segítse az ügynökséget a törvények betartatásában”, és hogy szövetségi védelmet szerezzen a bejelentők számára – mondta Tye. „A jutalom lehetősége nem volt tényező Mudge döntésében, és valójában nem is tudott a jutalomprogramról, amikor úgy döntött, hogy törvényes bejelentő lesz.”
A bejelentők nyilvánosságra hozatala hónapokkal az FTC után érkezik felvetette saját vádjait hogy a Twitter a 2011-es rendelet megsértésével visszaélt a fiókbiztonsági információkkal hirdetési célokra. Twitter vállalta, hogy 150 millió dollárt fizet májusban, hogy megoldja ezeket a követeléseket, egy második FTC-egyezség keretében.
Zatko nyilvánosságra hozatala felveti a Twitter FTC-kötelezettségeinek újabb lehetséges megsértésének lehetőségét – ez rendkívül veszélyes helyzetbe kerülhet egy vállalat és vezetői számára Jon Leibowitz szerint, aki a Twitter 2011-es egyezségének idején az FTC elnöke volt.
„Ha a tények igazak, az a rend és az FTC-törvény megsértését jelenti – és ez háromszoros vesztessé tenné a Twittert” – mondta Leibowitz a CNN-nek adott interjújában. „Semmi oka nem lenne arra, hogy az FTC ne dobja rájuk a könyvet.” Természetesen, tette hozzá Leibowitz, az FTC-nek először alapos vizsgálatot kell lefolytatnia, hogy maga állapítsa meg, történt-e új szabálysértés.
Richard Blumenthal szenátor, a szenátus fogyasztóvédelmi albizottságának elnöke és egykori connecticuti főügyész keddi nyilatkozatában kijelentette, hogy Zatko nyilvánosságra hozatala „felfedi, hogy a Twitter biztonsági hibáiért a felelősség a vezetőket terheli”.
Egy levélben sürgette továbbá az FTC-t, hogy vizsgálja ki a vádakat, mondván, hogy a tisztviselőknek pénzbírságot kell kiszabniuk és személyesen felelősségre vonniuk a Twitter vezetőit, ha kiderül, hogy felelősek az FTC törvény vagy a Twitter beleegyezési parancsának megsértéséért. Az FTC saját szavahihetősége forog kockán – áll Blumenthal abban a levélben, amelyet kedden az FTC-nek is megküldtek.
„Ha a Bizottság nem felügyeli és nem hajtja végre erőteljesen a parancsait, akkor nem veszik őket komolyan, és ezek a veszélyes jogsértések folytatódni fognak” – írta Blumenthal.
„A dolgok valójában jelentőségteljesen rosszabbra fordultak”
Alapokmánya értelmében az FTC felhatalmazást kap arra, hogy „tisztességtelen vagy megtévesztő üzleti cselekmények és gyakorlatok miatt” vádat emeljen. Az internet korában ez egyre inkább azt jelentette, hogy olyan cégek után kell menni, amelyek azt állítják, hogy védik a fogyasztók digitális információit, de valójában nem teljesítik nyilvános állításaikat, vagy hamisan ábrázolják ezeket a védelmet.
A Twitter eredeti, 2011-es megállapodása innen keletkezett két állítólagos incidens ahol a hackerek képesek voltak feltörni az alkalmazottak gyenge jelszavait, és visszaélni a hozzáférésükkel, hogy átvegyék a Twitter-fiókokat, és személyes információkhoz juthassanak, annak ellenére, hogy a Twitter nyilvánosan kijelentette a felhasználók magánéletének és biztonságának védelmét.
A Twitter megegyezése nem a jogsértés beismerése volt. De kötelező A Twitter „egy átfogó információbiztonsági programot hoz létre, amelyet ésszerűen úgy terveztek meg, hogy megvédje a nem nyilvános fogyasztói információk biztonságát, magánéletét, bizalmas kezelését és integritását” – ez a kötelezettségvállalás Zatko szerint soha nem teljesült.
Az idei FTC legutóbbi egyezségének részeként a Twitter még részletesebb kiberbiztonsági kötelezettségek mellett kötelezte el magát, beleértve a „hozzáférési szabályzatokat és ellenőrzéseket” minden felhasználói adatokat tartalmazó adatbázishoz, valamint olyan rendszerekhez, amelyek vagy hozzáférést biztosítanak az alkalmazottaknak Twitter-fiókokhoz, vagy amelyek információkat tartalmaznak. amely „lehetővé teszi vagy megkönnyíti” a belső Twitter-rendszerekhez való hozzáférést. Ezek a kötelezettségek már érvényben vannak azt követően, hogy a bíró idén tavasszal aláírta a végzést, ami tovább növeli a Twitter lehetséges jogi kitettségét.
A Twitter növekvő szabályozási követelményei ellenére Zatko azt állítja, hogy nem sok változás történt a cégnél az FTC több mint egy évtizeddel ezelőtti panasza óta.
„A dolgok valójában jelentőségteljesen rosszabbra fordultak” – állítja a Kongresszusnak adott nyilatkozata. A nyilvánosságra hozatal azt állítja, hogy bár a Twitter tavaly aktívan tárgyalt a második egyezségről az FTC-vel, a vállalat egy teljesen különálló incidensben lehetővé tette, hogy megismétlődjenek az adatokkal való, hirdetési célú visszaélések.
A CNN több mint 50, a nyilvánosságra hozatallal kapcsolatos konkrét kérdésére válaszolva a Twitter nem foglalkozott Zatko állításaival az esettel kapcsolatban. Elismerte, hogy mérnökei és termékcsapatai hozzáférhetnek a Twitter élő termelési környezetéhez, feltéve, hogy konkrét üzleti indokokkal rendelkeznek, és hozzátette, hogy más osztályok tagjai – például a pénzügyi, jogi, marketing, értékesítési, humánerőforrás és támogatási részlegek – nem. A Twitter azt is elmondta a CNN-nek, hogy az alkalmazottak számítógépeit automatikusan ellenőrzik annak megállapítására, hogy naprakészek-e, és azok, amelyek nem felelnek meg az ellenőrzéseknek, nem tudnak csatlakozni a termeléshez.
Lehetőség új településre vagy öltönyre
A nyilvánosságra hozatal tétje rendkívül jelentős lehet. Az FTC megállapítása, miszerint a Twitter harmadszor is megsértette a rendeletet, a legszigorúbb büntetést vonhatja maga után, amit az ügynökség valaha kiszabott a cégre. Az FTC elnöke jelenleg is Lina Khan, a a technológiai platformok hangos szkeptikusa és az általa „kereskedelmi felügyeleti” iparágnak nevezett iparágé, amely profitál a laza nemzeti adatvédelmi szabályokból. Khan alatt az FTC fontolgatja a kidolgozást átfogó új adatvédelmi szabályozás amelyek közvetlenül érinthetik a vállalatokat az egész gazdaságban, beleértve a Twittert is, valamint azt, hogy hogyan gyűjtik, használják és osztják meg a személyes adatokat.
Ha az FTC arra a következtetésre jutna, hogy jogsértés történt, két fő lehetősége lenne a Twitter felelősségre vonására, mondják az ügynökség korábbi tisztviselői. Harmadik egyezséget kérhet a céggel, vagy beperelheti a Twittert a meglévő beleegyezési végzések miatt, és megfelelő szankciókat kérhet a bíróságtól.
Egyezség esetén az FTC akár egyes vezetők megnevezésére is törekedhet – személyesen felelősségre vonva őket, és olyan kötelezettségek vállalására kényszerítve őket, amelyekért felelősségre vonhatók, ha ők vagy a cég ismét megsérti a parancsot.
Ha kiderül, hogy a Twitter megsértette jogi kötelezettségeit, Leibowitz szerint az FTC-nek „nagyon komolyan meg kell fontolnia, hogy rendet rakjon a felelős vezetők között”.
Az egyes vezetők megnevezésével való puszta fenyegetés hatékony lehet – tette hozzá. Amikor az FTC elnöke volt, Leibowitz így emlékezett vissza: „Nem tudom megmondani, hány vezérigazgató jött be az irodámba, és azt mondta: „Kérlek, ne nevezzen meg. Csak nem akarok nevet adni. Nem bánom, ha több pénzt fizetek; Nem bánom, ha a cégemet erősebb megrendelés alá helyezik. De egyszerűen nem akarom, hogy megnevezzenek.'”
Megan Gray, az FTC korábbi végrehajtási ügyvédje, aki az ügynökség néhány legnagyobb adatvédelmi ügyében dolgozott, elmondta, hogy az FTC számos eszközzel rendelkezik. (A CNN azelőtt beszélt Gray-vel, hogy Zatko állításai nyilvánosságra kerültek, anélkül, hogy nyilvánosságra hozták volna a létezésüket, majd kedden, miután a CNN és a The Washington Post beszámolt Zatko nyilvánosságra hozataláról.)
„Eszkalálódni a bírságok, több megfelelési jelentés, részletesebb ellenőrzések és korlátozások az üzletágaikra” – mondta Gray, kipipálva a lehetőségek listáját. "Vagy a reklámoknak az ügynökség általi előzetes jóváhagyásának követelménye, vagy bizonyos típusú tranzakciókból való kizárása."
Egy ügynökségnek, akinek több eszközre van szüksége a vállalatok elszámoltathatóságához
A Twitter harmadik fél által végzett auditjait idézte annak bizonyítékaként, hogy betartotta FTC-kötelezettségeit. Általánosságban elmondható, hogy az FTC ellenőrzési követelményei a gyakorlatban gyakran túlságosan könnyen kiszabadíthatják a vállalatokat a horogról, mondta Gray.
Például sok FTC-megbízást elég széles körben írnak meg ahhoz, hogy egy vállalat eleget tudjon tenni kötelezettségeinek, többek között a megfelelőségről szóló „tanúsítványok” alapján – ez egy aprócska ígéret, mondta Gray a CNN-nek. Az FTC-nek benyújtott jelentésekben a harmadik felek által végzett könyvvizsgálatot végző vállalatok egyszerűen azt mondják, vagy hivatkozhatnak az ellenőrzött vállalat nyilatkozataira, hogy a vállalat megfelel a követelményeknek.
2011-től 2022-ig a Twitternek az FTC-vel kötött beleegyezési parancsa lehetővé tette az igazolásokon alapuló auditjelentéseket. Aztán az idei második egyezségben az FTC pontosította az ellenőrzési követelményeket, és megtiltotta, hogy a Twitter külső könyvvizsgálói „elsősorban” a Twitter vezetőségének tanúsítványaira támaszkodjanak.
Gray szerint még az ilyen típusú korlátozások ellenére is van okunk szkeptikusnak lenni az FTC auditjelentéseivel szemben. Ennek az az oka, hogy a külső könyvvizsgálókat nem az FTC, hanem az ellenőrzött társaságok fizetik – mondta.
„Tehát a könyvvizsgáló cégek ösztönzői teljesen ki vannak téve” – tette hozzá Gray.
A Twitter azt mondta a CNN-nek, hogy az auditok csak az egyik adatvédelmi és biztonsági program, amelyet a Twitternek teljesítenie kell FTC-kötelezettségeinek.
Számos jelenlegi és volt FTC-tisztviselő, valamint amerikai törvényhozók és fogyasztóvédők szorgalmazták, hogy az FTC több eszközt biztosítson a vállalkozások elszámoltathatóságához, különösen a Legfelsőbb Bíróság tavalyi ülése után. szüntesse meg az ügynökség azon képessége, hogy bizonyos körülmények között pénzbeli könnyítést kérjen.
A szigorúbb felügyelet néhány híve felszólítottak, például, hogy az FTC bírságot szabjon ki a vállalatoknak az FTC-törvény első alkalommal történő megsértése miatt. Jelenleg az FTC általában csak polgári jogi szankciók kiszabására törekszik egy társasággal szemben miután megsértett egy korábbi egyezséget.
A Twitter esetében furcsának tűnhet, ha harmadszor is megtárgyalják a beleegyező határozatot – mondta egy másik volt FTC-tiszt, aki névtelenül nyilatkozott, hogy őszintébben beszélhessen. De abban az esetben, ha jogsértést talál, és mint minden más esetben, az FTC-nek mérlegelnie kell, hogy szerinte mit tud megszerezni a Twittertől egyezség útján, és azzal, amit az ügynökség el tud nyerni egy eljáró bíróságtól.
Fennáll a kockázata a hosszú, elhúzódó peres eljárásoknak, ahol a bíróság valójában kevesebbet ítélhet meg az FTC-nek – mondta a volt tisztségviselő.
– Vannak, akik úgy gondolják, hogy ezek a parancsok semmiség – mondta a volt tisztviselő –, de nem azok. Lehet, hogy bizonyos esetekben igen, és a vállalatok nem veszik őket komolyan. De sok esetben megteszik, és az FTC sok fájdalmat okozhat. Sok fájdalom."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., a Warner Bros. Discovery Company. Minden jog fenntartva.
