Pengungkapan whistleblower eksplosif oleh mantan kepala keamanan Twitter minggu ini menghadapkan perusahaan ke penyelidikan federal baru dan berpotensi denda miliaran dolar, kewajiban peraturan yang lebih ketat atau hukuman lain dari pemerintah AS, menurut pakar hukum dan mantan pejabat federal.
Twitter menghadapi risiko hukum yang luar biasa yang berasal dari pengungkapan pelapor oleh Peiter “Mudge” Zatko, yang mengklaim dalam a pengungkapan hampir 200 halaman kepada pihak berwenang bahwa perusahaan itu penuh dengan kelemahan keamanan informasi — dan bahwa dalam beberapa kasus para eksekutifnya telah menyesatkan dewan direksinya sendiri dan publik tentang kondisi perusahaan, jika tidak melakukan penipuan langsung.
Twitter menuduh Zatko, yang bekerja di perusahaan itu dari November 2020 hingga dia dipecat Januari ini karena apa yang dikatakan Twitter sebagai kinerja yang buruk, mendorong “narasi palsu tentang Twitter dan praktik privasi dan keamanan data kami yang penuh dengan inkonsistensi dan ketidakakuratan dan tidak memiliki konteks yang penting.” Zatko adalah pakar keamanan siber yang sangat dihormati dengan pengalaman dalam peran senior di Google, Stripe, dan Departemen Pertahanan. Pengungkapan pelapornya pertama kali dilaporkan oleh CNN dan The Washington Post pada hari Selasa.
Mematuhi penyelesaian privasi FTC 2011
Dalam pengungkapannya kepada pemerintah AS, Zatko mengklaim Twitter menderita "kekurangan yang mengerikan" dalam postur keamanan sibernya, dengan sengaja menyesatkan regulator tentang penanganannya atas data pengguna dan bahwa perusahaan tidak memenuhi kewajibannya berdasarkan undang-undang. Penyelesaian privasi 2011 dengan Federal Trade Commission — perintah yang mengikat secara hukum yang mengharuskan, antara lain, pembuatan “pengamanan yang wajar” untuk melindungi informasi pribadi pengguna. FTC menolak mengomentari pengungkapan tersebut.
Pengungkapan memberatkan Zatko menuduh bahwa sekitar setengah dari karyawan Twitter, termasuk semua insinyurnya, memiliki akses internal yang berlebihan ke produk langsung perusahaan, yang dikenal di dalam perusahaan sebagai "produksi", bersama dengan data pengguna yang sebenarnya. Ini juga menuduh perusahaan tidak memiliki kemampuan untuk bertahan dari ancaman orang dalam, pemerintah asing, dan kebocoran data yang tidak disengaja.
“Prinsip rekayasa dan keamanan mendasar adalah bahwa akses ke lingkungan produksi langsung harus dibatasi sebanyak mungkin,” kata pengungkapan itu. “Tetapi di Twitter, para insinyur membangun, menguji, dan mengembangkan perangkat lunak baru secara langsung dalam produksi dengan akses ke data pelanggan langsung dan informasi sensitif lainnya di sistem Twitter.”
Pelapor Twitter menuduh kebijakan keamanan siber yang sembrono dan lalai
Twitter telah mengatakan kepada CNN bahwa catatan kepatuhan FTC berbicara untuk dirinya sendiri, mengutip audit pihak ketiga yang diajukan ke agensi di bawah perintah persetujuan 2011. Twitter menambahkan bahwa pihaknya mematuhi peraturan privasi yang relevan dan telah transparan dengan regulator tentang upayanya untuk memperbaiki segala kekurangan dalam sistemnya. Zatko tidak berpartisipasi dalam pekerjaan audit dan tidak sepenuhnya memahami kewajiban FTC Twitter atau bagaimana perusahaan memenuhinya, kata Twitter.
Pengungkapan tersebut mengklaim bahwa staf Zatko "sangat akrab" dengan masalah Twitter sebelum FTC dan bahwa merekalah yang mengatakan kepada Zatko bahwa Twitter tidak pernah mematuhi perintah 2011, atau di jalur untuk menjadi patuh.
"Kami benar-benar mendukung isi pengungkapan Mudge," John Tye, pengacara Zatko dan pendiri Whistleblower Aid, organisasi yang mewakilinya, mengatakan kepada CNN.
Zatko mungkin memenuhi syarat untuk mendapatkan penghargaan moneter dari pemerintah AS sebagai akibat dari aktivitas whistleblower-nya. “Informasi asli, tepat waktu, dan kredibel yang mengarah pada tindakan penegakan yang berhasil” oleh SEC dapat memberi pelapor hingga 30% potongan denda agensi terkait dengan tindakan tersebut jika hukumannya berjumlah lebih dari $ 1 juta, kata SEC. SEC telah memberikan lebih dari $1 miliar kepada lebih dari 270 pelapor sejak 2012.
Zatko mengajukan pengungkapannya ke SEC "untuk membantu badan tersebut menegakkan hukum," dan untuk mendapatkan perlindungan pelapor federal, kata Tye. “Prospek hadiah bukanlah faktor dalam keputusan Mudge, dan sebenarnya dia bahkan tidak tahu tentang program hadiah ketika dia memutuskan untuk menjadi pelapor yang sah.”
Pengungkapan pelapor datang beberapa bulan setelah FTC melontarkan tuduhannya sendiri bahwa Twitter menyalahgunakan informasi keamanan akun untuk tujuan periklanan yang melanggar perintah 2011. Twitter setuju untuk membayar $ 150 juta pada bulan Mei untuk menyelesaikan klaim tersebut, dalam penyelesaian FTC kedua.
Sekarang, pengungkapan Zatko meningkatkan prospek kemungkinan pelanggaran lain terhadap komitmen FTC Twitter - posisi yang sangat berbahaya bagi perusahaan dan eksekutifnya, menurut Jon Leibowitz, yang merupakan ketua FTC pada saat penyelesaian Twitter tahun 2011.
"Jika faktanya benar, itu akan merupakan pelanggaran terhadap perintah dan Undang-Undang FTC - dan itu akan membuat Twitter menjadi pecundang tiga kali," kata Leibowitz kepada CNN dalam sebuah wawancara. “Tidak akan ada alasan bagi FTC untuk tidak melemparkan buku itu kepada mereka.” Tentu saja, tambah Leibowitz, FTC perlu melakukan investigasi menyeluruh terlebih dahulu untuk menentukan sendiri apakah telah terjadi pelanggaran baru.
Senator Richard Blumenthal, ketua subkomite Senat untuk perlindungan konsumen dan mantan jaksa agung Connecticut, mengatakan dalam sebuah pernyataan Selasa bahwa pengungkapan Zatko "mengungkapkan bahwa tanggung jawab atas kegagalan keamanan Twitter terletak pada mereka yang berada di atas."
Dia lebih lanjut mendesak FTC dalam sebuah surat untuk menyelidiki tuduhan tersebut, mengatakan para pejabat harus mendenda dan meminta pertanggungjawaban eksekutif Twitter secara pribadi jika ditemukan bahwa mereka bertanggung jawab atas pelanggaran FTC Act atau perintah persetujuan Twitter. Kredibilitas FTC sendiri dipertaruhkan, kata Blumenthal dalam suratnya, yang juga dikirim ke FTC pada hari Selasa.
“Jika Komisi tidak mengawasi dan menegakkan perintahnya dengan penuh semangat, mereka tidak akan dianggap serius dan pelanggaran berbahaya ini akan terus berlanjut,” tulis Blumenthal.
“Segalanya benar-benar menjadi lebih buruk”
Berdasarkan piagamnya, FTC berwenang untuk menuntut “tindakan dan praktik bisnis yang tidak adil atau menipu.” Di era internet, itu semakin berarti mengejar perusahaan yang mengklaim melindungi informasi digital konsumen tetapi kenyataannya gagal memenuhi klaim publik mereka atau salah mengartikan perlindungan tersebut.
Penyelesaian asli Twitter 2011 muncul dari dua dugaan insiden di mana peretas dapat mengkompromikan kata sandi karyawan yang lemah dan menyalahgunakan akses mereka untuk mengambil alih akun Twitter dan mengintip informasi pribadi, terlepas dari pernyataan publik Twitter tentang menjaga privasi dan keamanan pengguna.
Penyelesaian Twitter bukanlah pengakuan kesalahan. Tetapi wajib Twitter akan membuat “program keamanan informasi komprehensif yang dirancang secara wajar untuk melindungi keamanan, privasi, kerahasiaan, dan integritas informasi konsumen nonpublik” — sebuah komitmen yang menurut Zatko belum pernah dipenuhi.
Sebagai bagian dari penyelesaian FTC terbaru tahun ini, Twitter berkomitmen untuk kewajiban keamanan siber yang lebih terperinci termasuk memiliki “kebijakan dan kontrol akses” untuk semua basis data yang berisi data pengguna, serta untuk sistem yang memberikan akses karyawan ke akun Twitter atau yang memiliki informasi yang “mengaktifkan atau memfasilitasi” akses ke sistem Twitter internal. Kewajiban tersebut sudah berlaku setelah hakim menandatangani perintah pada musim semi ini, yang semakin meningkatkan potensi paparan hukum untuk Twitter.
Terlepas dari persyaratan peraturan Twitter yang meningkat, Zatko menuduh tidak banyak yang berubah di perusahaan sejak keluhan awal FTC lebih dari satu dekade lalu.
"Segalanya benar-benar menjadi lebih buruk," pengungkapannya kepada Kongres menuduh. Pengungkapan mengklaim bahwa meskipun Twitter secara aktif menegosiasikan penyelesaian kedua dengan FTC tahun lalu, perusahaan, dalam insiden yang sama sekali terpisah, memungkinkan jenis penyalahgunaan data yang sama untuk tujuan periklanan terulang kembali.
Menanggapi lebih dari 50 pertanyaan spesifik dari CNN terkait pengungkapan tersebut, Twitter tidak menjawab tuduhan Zatko seputar insiden itu. Itu memang mengakui bahwa tim teknik dan produknya dapat mengakses lingkungan produksi langsung Twitter asalkan mereka memiliki pembenaran bisnis tertentu, menambahkan bahwa anggota departemen lain — seperti keuangan, hukum, pemasaran, penjualan, sumber daya manusia, dan dukungan — tidak bisa. Twitter juga mengatakan kepada CNN bahwa komputer karyawan secara otomatis diperiksa untuk menentukan apakah mereka mutakhir, dan komputer yang gagal dalam pemeriksaan tidak dapat terhubung ke produksi.
Potensi pemukiman atau setelan baru
Taruhan pengungkapan bisa sangat signifikan. Temuan FTC bahwa Twitter telah melanggar perintahnya untuk ketiga kalinya dapat mengakibatkan hukuman terberat yang pernah dijatuhkan oleh agensi tersebut kepada perusahaan. FTC juga saat ini diketuai oleh Lina Khan, a vokal skeptis terhadap platform teknologi dan apa yang dia sebut industri "pengawasan komersial" yang mendapat untung dari aturan privasi nasional yang longgar. Di bawah Khan, FTC sedang mempertimbangkan penyusunan menyapu peraturan privasi baru yang secara langsung dapat memengaruhi perusahaan di seluruh perekonomian, termasuk Twitter, dan cara mereka mengumpulkan, menggunakan, dan membagikan data pribadi.
Jika FTC menyimpulkan pelanggaran terjadi, itu akan memiliki dua opsi utama untuk meminta pertanggungjawaban Twitter, kata mantan pejabat agensi. Itu bisa mencari penyelesaian ketiga dengan perusahaan, atau bisa menuntut Twitter atas perintah persetujuan yang ada dan meminta pengadilan untuk hukuman yang sesuai.
Dalam kasus penyelesaian, FTC bahkan dapat mencari nama eksekutif individu - meminta mereka bertanggung jawab secara pribadi dan memaksa mereka untuk menerima kewajiban atas perilaku mereka sendiri yang dapat dimintai pertanggungjawaban jika mereka atau perusahaan melanggar perintah lagi.
Jika ternyata Twitter memang melanggar kewajiban hukumnya, Leibowitz mengatakan, FTC harus “sangat serius mempertimbangkan … menempatkan eksekutif yang bertanggung jawab di bawah perintah.”
Ancaman hanya menyebut nama eksekutif individu bisa efektif, tambahnya. Selama waktunya sebagai ketua FTC, Leibowitz mengenang, “Saya tidak dapat memberi tahu Anda berapa banyak CEO yang datang ke kantor saya dan berkata, 'Tolong jangan sebutkan nama saya. Saya hanya tidak ingin disebutkan namanya. Saya tidak keberatan jika saya membayar lebih banyak uang; Saya tidak keberatan jika perusahaan saya ditempatkan di bawah perintah yang lebih kuat. Tapi saya hanya tidak ingin disebutkan namanya.'”
Megan Gray, mantan pengacara penegakan FTC yang telah bekerja pada beberapa kasus privasi terbesar lembaga tersebut, mengatakan bahwa alat yang dimiliki FTC sangat banyak. (CNN berbicara dengan Gray sebelum tuduhan Zatko menjadi publik dan tanpa mengungkapkan keberadaan mereka, dan sekali lagi pada hari Selasa setelah CNN dan The Washington Post melaporkan pengungkapan Zatko.)
"Meningkatnya denda, lebih banyak laporan kepatuhan, kontrol yang lebih terperinci, dan pembatasan pada lini bisnis mereka," kata Gray, menandai daftar opsi. “Atau persyaratan untuk mendapatkan iklan yang telah disetujui sebelumnya oleh agensi, atau mengecualikannya dari jenis transaksi tertentu.”
Agensi yang membutuhkan lebih banyak alat untuk meminta pertanggungjawaban perusahaan
Twitter telah mengutip audit pihak ketiga sebagai bukti bahwa mereka telah menegakkan komitmen FTC-nya. Tetapi secara umum, cara persyaratan audit FTC sering bekerja dalam praktiknya dapat membuat perusahaan lolos terlalu mudah, kata Gray.
Misalnya, banyak pesanan FTC ditulis cukup luas untuk memungkinkan perusahaan memenuhi kewajibannya berdasarkan, antara lain, "pengesahan" bahwa mereka patuh - janji kelingking, Gray mengatakan kepada CNN. Dalam laporan kepada FTC, perusahaan yang melakukan audit pihak ketiga mungkin hanya mengatakan, atau mengutip pernyataan perusahaan yang diaudit, bahwa perusahaan tersebut mematuhinya.
Dari 2011 hingga 2022, perintah persetujuan Twitter dengan FTC mengizinkan laporan audit berdasarkan pengesahan. Kemudian, dalam penyelesaian kedua tahun ini, FTC membuat persyaratan audit lebih spesifik, melarang auditor pihak ketiga Twitter mengandalkan "terutama" pada pengesahan oleh manajemen Twitter.
Bahkan dengan pembatasan semacam itu, masih ada alasan untuk skeptis terhadap laporan audit FTC, kata Gray. Itu karena auditor pihak ketiga dibayar bukan oleh FTC, tetapi oleh perusahaan yang diaudit, katanya.
“Jadi insentifnya benar-benar tidak masuk akal bagi perusahaan audit,” tambah Gray.
Twitter mengatakan kepada CNN bahwa audit hanyalah salah satu program privasi dan keamanan yang harus dipenuhi Twitter untuk memenuhi kewajiban FTC-nya.
Banyak pejabat FTC saat ini dan mantan, serta anggota parlemen AS dan advokat konsumen, telah mendorong untuk memberi FTC lebih banyak alat untuk meminta pertanggungjawaban bisnis, terutama setelah Mahkamah Agung tahun lalu tertimpa kemampuan lembaga untuk mencari bantuan moneter dalam beberapa keadaan.
Beberapa pendukung pengawasan yang lebih ketat telah menyerukan, misalnya, membiarkan FTC mengeluarkan denda kepada perusahaan untuk pelanggaran pertama terhadap FTC Act. Saat ini, FTC umumnya hanya berusaha untuk menjatuhkan hukuman perdata pada perusahaan setelah itu melanggar kesepakatan sebelumnya.
Dalam kasus Twitter, menegosiasikan perintah persetujuan untuk ketiga kalinya mungkin tampak aneh, kata mantan pejabat FTC lainnya, yang berbicara dengan syarat anonim untuk berbicara lebih jujur. Tetapi jika menemukan pelanggaran, dan seperti halnya kasus apa pun, FTC perlu mempertimbangkan apa yang diyakini dapat diperoleh dari Twitter melalui penyelesaian terhadap apa yang mungkin dapat dimenangkan oleh agensi dari pengadilan.
Ada risiko untuk litigasi yang panjang dan berlarut-larut, di mana pengadilan sebenarnya dapat memberikan lebih sedikit kepada FTC, kata mantan pejabat itu.
“Beberapa orang menganggap perintah ini bukan apa-apa,” kata mantan pejabat itu, “tetapi sebenarnya tidak. Mungkin dalam beberapa kasus memang demikian, dan perusahaan tidak menganggapnya serius. Tetapi dalam banyak kasus mereka melakukannya, dan FTC dapat menimbulkan banyak rasa sakit. Banyak rasa sakit."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., sebuah Perusahaan Penemuan Warner Bros. Seluruh hak cipta.
