Una divulgazione esplosiva di un informatore da parte dell'ex capo della sicurezza di Twitter questa settimana espone l'azienda a nuove indagini federali e potenzialmente miliardi di dollari in multe, obblighi normativi più severi o altre sanzioni da parte del governo degli Stati Uniti, secondo esperti legali ed ex funzionari federali.
Twitter affronta enormi rischi legali derivanti dalla divulgazione dell'informatore da parte di Peiter "Mudge" Zatko, che afferma in un divulgazione di quasi 200 pagine alle autorità che la società è piena di difetti di sicurezza delle informazioni e che in alcuni casi i suoi dirigenti hanno fuorviato il proprio consiglio di amministrazione e il pubblico sulle condizioni dell'azienda, se non perpetrata vera e propria frode.
Twitter ha accusato Zatko, che ha lavorato presso l'azienda da novembre 2020 fino a quando non è stato licenziato a gennaio per quello che secondo Twitter era scarso rendimento, di aver spinto "una falsa narrativa su Twitter e le nostre pratiche di privacy e sicurezza dei dati che è piena di incoerenze e imprecisioni e manca di un contesto importante”. Zatko è un esperto di sicurezza informatica molto apprezzato con esperienza in ruoli senior presso Google, Stripe e il Dipartimento della Difesa. La sua rivelazione da informatore è stata segnalata per la prima volta dalla CNN e dal Washington Post martedì.
Conforme a un accordo sulla privacy FTC del 2011
Nella sua divulgazione al governo degli Stati Uniti, Zatko afferma che Twitter soffre di "egregie carenze" nella sua posizione di sicurezza informatica, ha deliberatamente fuorviato le autorità di regolamentazione sulla gestione dei dati degli utenti e che la società non sta rispettando i propri obblighi ai sensi di un Accordo sulla privacy del 2011 con la Federal Trade Commission — un ordine legalmente vincolante che richiede, tra le altre cose, la creazione di “ragionevoli salvaguardie” per proteggere le informazioni personali degli utenti. La FTC ha rifiutato di commentare la divulgazione.
La schiacciante rivelazione di Zatko sostiene che circa la metà dei dipendenti di Twitter, inclusi tutti i suoi ingegneri, ha un accesso interno eccessivo al prodotto live dell'azienda, noto all'interno dell'azienda come "produzione", insieme ai dati degli utenti effettivi. Sostiene inoltre che la società non ha la capacità di difendersi da minacce interne, governi stranieri e fughe di dati accidentali.
"Un principio fondamentale di ingegneria e sicurezza è che l'accesso agli ambienti di produzione dal vivo dovrebbe essere limitato il più possibile", afferma la divulgazione. "Ma su Twitter, gli ingegneri hanno costruito, testato e sviluppato un nuovo software direttamente in produzione con accesso ai dati dei clienti in tempo reale e ad altre informazioni sensibili nel sistema di Twitter".
Un informatore di Twitter sostiene politiche di sicurezza informatica sconsiderate e negligenti
Twitter ha detto alla CNN che il suo record di conformità FTC parla da sé, citando audit di terze parti depositati presso l'agenzia in base all'ordine di consenso del 2011. Twitter ha aggiunto di essere conforme alle normative sulla privacy pertinenti e di essere stato trasparente con le autorità di regolamentazione sui suoi sforzi per correggere eventuali carenze nei suoi sistemi. Zatko non ha partecipato al lavoro di audit e non ha compreso appieno gli obblighi FTC di Twitter o il modo in cui la società li stava adempiendo, ha affermato Twitter.
La divulgazione afferma che lo staff di Zatko era "intimamente familiare" con i problemi di Twitter prima dell'FTC e che sono stati loro a dire a Zatko che Twitter non era mai stato conforme all'ordine del 2011, né sulla buona strada per diventare conforme.
"Sosteniamo assolutamente il contenuto della divulgazione di Mudge", ha detto alla CNN John Tye, avvocato di Zatko e fondatore di Whistleblower Aid, l'organizzazione che lo rappresenta.
Zatko potrebbe avere diritto a un premio in denaro dal governo degli Stati Uniti a seguito delle sue attività di informatore. "Informazioni originali, tempestive e credibili che portano a un'azione esecutiva di successo" da parte della SEC possono far guadagnare agli informatori una riduzione fino al 30% delle multe dell'agenzia relative all'azione se le sanzioni ammontano a più di $ 1 milione, ha affermato la SEC. La SEC ha assegnato più di 1 miliardo di dollari a più di 270 informatori dal 2012.
Zatko ha presentato la sua divulgazione alla SEC "per aiutare l'agenzia a far rispettare le leggi" e per ottenere la protezione federale degli informatori, ha detto Tye. "La prospettiva di una ricompensa non è stata un fattore nella decisione di Mudge, e infatti non sapeva nemmeno del programma di ricompensa quando ha deciso di diventare un informatore legale".
La divulgazione dell'informatore arriva mesi dopo l'FTC ha avanzato le proprie accuse che Twitter ha utilizzato in modo improprio le informazioni sulla sicurezza dell'account per scopi pubblicitari in violazione dell'ordinanza del 2011. Twitter accettato di pagare $ 150 milioni a maggio per risolvere tali reclami, in un secondo accordo FTC.
Ora, la divulgazione di Zatko solleva la prospettiva di un'altra possibile violazione degli impegni FTC di Twitter: una posizione straordinariamente pericolosa per un'azienda e i suoi dirigenti, secondo Jon Leibowitz, che era presidente della FTC al momento dell'accordo di Twitter nel 2011.
"Se i fatti sono veri, costituirebbero violazioni dell'ordine e della legge FTC - e ciò renderebbe Twitter un tre volte perdente", ha detto Leibowitz alla CNN in un'intervista. "Non ci sarebbe motivo per la FTC di non lanciare loro il libro". Naturalmente, ha aggiunto Leibowitz, la FTC dovrebbe prima condurre un'indagine approfondita per determinare da sola se si è verificata una nuova violazione.
Il senatore Richard Blumenthal, presidente della sottocommissione del Senato per la protezione dei consumatori ed ex procuratore generale del Connecticut, ha dichiarato martedì in una dichiarazione che le rivelazioni di Zatko "rivelano che la responsabilità per i fallimenti della sicurezza di Twitter spetta a chi sta al vertice".
Ha inoltre esortato la FTC in una lettera a indagare sulle accuse, affermando che i funzionari dovrebbero multare e ritenere i dirigenti di Twitter personalmente responsabili se si scopre che sono responsabili di violazioni della legge FTC o dell'ordine di consenso di Twitter. La stessa credibilità della FTC è in gioco, ha affermato Blumenthal nella lettera, che è stata inviata anche alla FTC martedì.
"Se la Commissione non supervisiona e applica vigorosamente i suoi ordini, non saranno presi sul serio e queste pericolose violazioni continueranno", ha scritto Blumenthal.
"Le cose in realtà sono peggiorate significativamente"
In base al suo statuto, la FTC è autorizzata a perseguire "atti e pratiche commerciali sleali o ingannevoli". Nell'era di Internet, ciò ha sempre più significato perseguire le aziende che affermano di proteggere le informazioni digitali dei consumatori ma che in realtà non sono all'altezza delle loro affermazioni pubbliche o travisano tali protezioni.
L'accordo originale di Twitter del 2011 è nato da due presunti incidenti dove gli hacker sono stati in grado di compromettere le password deboli dei dipendenti e di abusare del loro accesso per impossessarsi degli account Twitter e spiare informazioni private, nonostante le dichiarazioni pubbliche di Twitter sulla tutela della privacy e della sicurezza degli utenti.
L'accordo di Twitter non era un'ammissione di illeciti. Ma ciò necessario Twitter per creare "un programma completo di sicurezza delle informazioni che è ragionevolmente progettato per proteggere la sicurezza, la privacy, la riservatezza e l'integrità delle informazioni non pubbliche dei consumatori" - un impegno che Zatko sostiene non è mai stato rispettato.
Come parte dell'ultimo accordo FTC di quest'anno, Twitter si è impegnata a rispettare obblighi di sicurezza informatica ancora più dettagliati, tra cui avere "politiche e controlli di accesso" per tutti i database contenenti dati degli utenti, nonché per i sistemi che garantiscono ai dipendenti l'accesso agli account Twitter o che dispongono di informazioni che "consente o facilita" l'accesso ai sistemi interni di Twitter. Tali obblighi sono già in vigore dopo la firma dell'ordinanza da parte di un giudice questa primavera, aumentando ulteriormente la potenziale esposizione legale per Twitter.
Nonostante i crescenti requisiti normativi di Twitter, Zatko sostiene che non è cambiato molto in azienda dal reclamo iniziale della FTC più di un decennio fa.
"Le cose in realtà sono peggiorate significativamente", afferma la sua rivelazione al Congresso. La divulgazione afferma che anche se Twitter stava attivamente negoziando il secondo accordo con la FTC l'anno scorso, la società, in un incidente completamente separato, ha consentito il ripetersi dello stesso tipo di uso improprio dei dati per scopi pubblicitari.
In risposta a più di 50 domande specifiche della CNN relative alla divulgazione, Twitter non ha affrontato l'accusa di Zatko relativa a quell'incidente. Ha riconosciuto che i suoi team di progettazione e prodotto sono in grado di accedere all'ambiente di produzione live di Twitter a condizione che abbiano una giustificazione commerciale specifica, aggiungendo che i membri di altri dipartimenti, come finanza, legale, marketing, vendite, risorse umane e supporto, non possono. Twitter ha anche detto alla CNN che i computer dei dipendenti vengono automaticamente controllati per determinare se sono aggiornati e quelli che non superano i controlli non possono connettersi alla produzione.
Possibilità di nuovo accordo o causa
La posta in gioco della divulgazione potrebbe essere estremamente significativa. Una conclusione della FTC secondo cui Twitter ha violato il suo ordine per la terza volta potrebbe comportare le sanzioni più severe che l'agenzia abbia mai imposto alla società. La FTC è attualmente presieduta anche da Lina Khan, a scettico vocale delle piattaforme tecnologiche e di quella che lei chiama un'industria di "sorveglianza commerciale" che trae profitto da norme nazionali permissive sulla privacy. Sotto Khan, la FTC sta valutando la possibilità di redigere nuove radicali normative sulla privacy che potrebbero influenzare direttamente le aziende in tutta l'economia, incluso Twitter, e il modo in cui raccolgono, utilizzano e condividono i dati personali.
Se la FTC dovesse concludere che si è verificata una violazione, avrebbe due opzioni principali per ritenere Twitter responsabile, affermano ex funzionari dell'agenzia. Potrebbe cercare un terzo accordo con la società, oppure potrebbe citare in giudizio Twitter per gli ordini di consenso esistenti e chiedere a un tribunale le sanzioni appropriate.
Nel caso di un accordo, la FTC potrebbe anche cercare di nominare i singoli dirigenti, ritenendoli personalmente responsabili e costringendoli ad accettare obblighi sulla propria condotta per i quali potrebbero essere ritenuti responsabili se loro o la società violano nuovamente l'ordine.
Se si scopre che Twitter ha violato i suoi obblighi legali, ha affermato Leibowitz, la FTC dovrebbe "considerare molto seriamente... di mettere ordine ai dirigenti responsabili".
La semplice minaccia di nominare i singoli dirigenti può essere efficace, ha aggiunto. Durante il suo periodo come presidente della FTC, Leibowitz ha ricordato: “Non posso dirvi quanti CEO sono entrati nel mio ufficio dicendo: 'Per favore, non nominarmi. Non voglio essere nominato. Non mi importa se pago di più; Non mi importa se la mia azienda viene messa sotto un ordine più forte. Ma non voglio essere nominato.'”
Megan Gray, un ex avvocato delle forze dell'ordine della FTC che ha lavorato su alcuni dei più grandi casi di privacy dell'agenzia, ha affermato che gli strumenti a disposizione della FTC sono numerosi. (La CNN ha parlato con Gray prima che le accuse di Zatko diventassero pubbliche e senza rivelarne l'esistenza, e poi di nuovo martedì dopo che la CNN e il Washington Post hanno riportato la divulgazione di Zatko.)
"Ammende crescenti, più rapporti di conformità, controlli più dettagliati e restrizioni sulle loro linee di attività", ha affermato Gray, spuntando un elenco di opzioni. "O un requisito per ottenere annunci pre-approvati dall'agenzia o escluderli da determinati tipi di transazioni".
Un'agenzia che ha bisogno di più strumenti per ritenere le aziende responsabili
Twitter ha citato i suoi audit di terze parti come prova che ha mantenuto i suoi impegni FTC. Ma in generale, il modo in cui i requisiti di audit della FTC spesso funzionano nella pratica può liberare le aziende dai guai troppo facilmente, ha affermato Gray.
Ad esempio, molti ordini FTC sono scritti in modo sufficientemente ampio da consentire a un'azienda di soddisfare i propri obblighi sulla base, tra le altre cose, di "attestazioni" di conformità: una promessa da mignolo, ha detto Gray alla CNN. Nei rapporti all'FTC, le società che conducono audit di terze parti possono semplicemente affermare o citare dichiarazioni dell'azienda sottoposta a audit che l'azienda è conforme.
Dal 2011 al 2022, l'ordine di consenso di Twitter con la FTC ha consentito rapporti di audit basati su attestazioni. Quindi, nel suo secondo accordo quest'anno, la FTC ha reso i requisiti di audit più specifici, impedendo ai revisori di terze parti di Twitter di fare affidamento “principalmente” sulle attestazioni del management di Twitter.
Anche con questi tipi di restrizioni, ci sono ancora motivi per essere scettici sui rapporti di audit FTC, ha affermato Gray. Questo perché i revisori dei conti di terze parti non sono pagati dalla FTC, ma dalle società sottoposte a revisione, ha affermato.
"Quindi gli incentivi sono completamente fuori controllo per le società di revisione", ha aggiunto Gray.
Twitter ha detto alla CNN che gli audit sono solo uno dei programmi di privacy e sicurezza che Twitter deve rispettare i suoi obblighi FTC.
Molti funzionari della FTC attuali ed ex, così come i legislatori statunitensi e i sostenitori dei consumatori, hanno spinto per fornire alla FTC più strumenti per ritenere le imprese responsabili, in particolare dopo che la Corte Suprema lo scorso anno stroncato la capacità dell'agenzia di chiedere uno sgravio monetario in alcune circostanze.
Alcuni sostenitori di una supervisione più severa hanno chiesto, ad esempio, lasciare che la FTC emetta multe alle società per le prime violazioni della legge FTC. Attualmente, la FTC può generalmente solo cercare di imporre sanzioni civili a una società dopo aver violato un precedente accordo.
Nel caso di Twitter, negoziare un ordine di consenso per la terza volta può sembrare un aspetto strano, ha affermato un altro ex funzionario della FTC, parlando in condizione di anonimato per parlare in modo più schietto. Ma nel caso in cui riscontri una violazione, e come in ogni caso, la FTC dovrà valutare ciò che ritiene di poter ottenere da Twitter attraverso un accordo contro ciò che l'agenzia potrebbe essere in grado di ottenere da un tribunale.
Ci sono rischi per contenziosi lunghi e prolungati, in cui un tribunale potrebbe effettivamente assegnare meno alla FTC, ha affermato l'ex funzionario.
“Alcune persone pensano che questi ordini non siano niente”, ha detto l'ex funzionario, “ma non lo sono. Forse in alcuni casi lo sono e le aziende non li prendono sul serio. Ma in molti casi lo fanno e l'FTC può esigere molto dolore. Molto dolore."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., una Warner Bros. Discovery Company. Tutti i diritti riservati.
