חשיפת חושפי שחיתויות נפיצה של ראש האבטחה לשעבר של טוויטר השבוע חושפת את החברה לחקירות פדרליות חדשות וקנסות פוטנציאליים של מיליארדי דולרים, חובות רגולטוריות מחמירות יותר או עונשים אחרים מצד ממשלת ארה"ב, לפי מומחים משפטיים ופקידים פדרליים לשעבר.
טוויטר עומדת בפני סיכונים משפטיים אדירים הנובעים מחשיפת חושפי השחיתויות של פיטר "מודג'" זטקו, שטוען ב חשיפה של כמעט 200 עמודים לרשויות שהחברה רצופת פגמי אבטחת מידע - וכי במקרים מסוימים המנהלים בה הטעו את הדירקטוריון שלה ואת הציבור במצבה של החברה, אם לא ביצעו הונאה מוחלטת.
טוויטר האשימה את זטקו, שעבד בחברה מנובמבר 2020 ועד שפוטר בינואר הקרוב בגלל מה שלטענת טוויטר היה ביצועים גרועים, בדחיפה של "נרטיב שקרי לגבי טוויטר ונוהלי הפרטיות ואבטחת הנתונים שלנו, רצוף חוסר עקביות ואי דיוקים. חסר הקשר חשוב." זטקו הוא מומחה לאבטחת סייבר מוערך עם ניסיון בתפקידים בכירים בגוגל, בסטריפ ובמשרד ההגנה. חשיפת חושפי השחיתויות שלו דווחה לראשונה על ידי CNN והוושינגטון פוסט ביום שלישי.
עמידה בהסדר הפרטיות של FTC משנת 2011
בחשיפתו לממשלת ארה"ב, טוען זטקו שטוויטר סובלת מ"ליקויים חמורים" בתנוחת אבטחת הסייבר שלה, הטעה בכוונה את הרגולטורים לגבי הטיפול בנתוני המשתמשים ושהחברה אינה עומדת בהתחייבויותיה לפי א. הסדר פרטיות משנת 2011 עם ועדת הסחר הפדרלית - צו משפטי מחייב המחייב, בין היתר, יצירת "אמצעי הגנה סבירים" כדי להגן על המידע האישי של המשתמשים. ה-FTC סירב להגיב על החשיפה.
החשיפה המרשיעה של זטקו טוענת שלכמחצית מעובדי טוויטר, כולל כל המהנדסים שלה, יש גישה פנימית מוגזמת למוצר החי של החברה, המכונה בתוך החברה "ייצור", יחד עם נתוני משתמשים בפועל. היא גם טוענת שלחברה אין את היכולת להתגונן מפני איומים פנימיים, ממשלות זרות ודליפות נתונים מקריות.
"עיקרון הנדסי ואבטחה בסיסי הוא שהגישה לסביבות ייצור חיות צריכה להיות מוגבלת ככל האפשר", נאמר בחשיפה. "אבל בטוויטר, מהנדסים בנו, בדקו ופיתחו תוכנה חדשה ישירות בייצור עם גישה לנתוני לקוחות חיים ומידע רגיש אחר במערכת של טוויטר."
חושפי שחיתות בטוויטר טוען למדיניות אבטחת סייבר פזיזה ורשלנית
טוויטר אמרה ל-CNN שרשומות התאימות שלה ל-FTC מדברות בעד עצמן, תוך שהיא מצטטת ביקורות של צד שלישי שהוגשו לסוכנות במסגרת צו ההסכמה משנת 2011. טוויטר הוסיפה כי היא מצייתת לתקנות הפרטיות הרלוונטיות וכי היא הייתה שקוף עם הרגולטורים לגבי מאמציה לתקן כל ליקוי במערכות שלה. זטקו לא השתתף בעבודת הביקורת ולא הבין במלואו את חובות ה-FTC של טוויטר או כיצד החברה ממלאת אותן, אמר טוויטר.
החשיפה טוענת שהצוות של זטקו "הכיר מקרוב" את הבעיות של טוויטר לפני ה-FTC ושהוא זה שאמר ל-Zatko ש-Twitter מעולם לא עומד בצו משנת 2011, וגם לא בדרך להיות מציית.
"אנחנו בהחלט עומדים על תוכן החשיפה של מודג'", אמר ל-CNN ג'ון טיי, עורך דינו של זטקו ומייסד Whistleblower Aid, הארגון המייצג אותו.
זטקו עשוי להיות זכאי לפרס כספי מממשלת ארה"ב כתוצאה מפעילות חושפי השחיתויות שלו. "מידע מקורי, בזמן ואמין שמוביל לפעולת אכיפה מוצלחת" על ידי ה-SEC יכול לזכות בחושפי שחיתויות עד קיצוץ של 30% מקנסות הסוכנות הקשורים לפעולה, אם העונשים מסתכמים ביותר ממיליון דולר, אמר ה-SEC. ה-SEC העניק יותר ממיליארד דולר ליותר מ-1 חושפי שחיתויות מאז 1.
זטקו הגיש את חשיפתו ל-SEC "כדי לעזור לסוכנות לאכוף את החוקים", וכדי לזכות בהגנות פדרליות לחושפי שחיתויות, אמר טיי. "הסיכוי לתגמול לא היה גורם בהחלטה של מאדג', ולמעשה הוא אפילו לא ידע על תוכנית התגמול כשהחליט להיות מלשיין חוקי".
חשיפת חושפי השחיתויות מגיעה חודשים לאחר ה-FTC הטילה את הטענות שלה כי טוויטר השתמשה לרעה במידע אבטחת החשבון למטרות פרסום תוך הפרה של הצו משנת 2011. טוויטר הסכים לשלם 150 מיליון דולר בחודש מאי כדי לפתור את התביעות הללו, בהסדר שני של FTC.
כעת, החשיפה של זטקו מעלה את הסיכוי להפרה אפשרית נוספת של התחייבויות ה-FTC של טוויטר - עמדה מסוכנת במיוחד עבור חברה ומנהליה, לפי ג'ון ליבוביץ', שהיה יו"ר ה-FTC בזמן ההסדר של טוויטר ב-2011.
"אם העובדות נכונות, הן יהוו הפרות של הצו ושל חוק ה-FTC - וזה יהפוך את טוויטר למפסידה של שלוש פעמים", אמר ליבוביץ' בראיון ל-CNN. "לא תהיה סיבה שה-FTC לא יזרוק עליהם את הספר". כמובן, הוסיף ליבוביץ, ה-FTC יצטרך לערוך תחילה חקירה יסודית כדי לקבוע בעצמו אם התרחשה הפרה חדשה.
הסנאטור ריצ'רד בלומנטל, יו"ר ועדת המשנה של הסנאט להגנה על צרכנים ותובע הכללי לשעבר של קונטיקט, אמר בהצהרה ביום שלישי כי הגילויים של זטקו "חושפים שהאחריות לכשלי האבטחה של טוויטר מוטלת על אלה שבראש".
עוד הוא הפציר ב-FTC במכתב לחקור את ההאשמות, ואמר שפקידים צריכים לקנוס ולחייב את מנהלי טוויטר באחריות אישית אם יימצא שהם אחראים להפרות של חוק ה-FTC או צו ההסכמה של טוויטר. האמינות של ה-FTC עצמה עומדת על הפרק, אמר בלומנטל במכתב, שנשלח גם ל-FTC ביום שלישי.
"אם הנציבות לא תפקח ותאכוף במרץ את הוראותיה, הן לא ייקחו ברצינות וההפרות המסוכנות הללו יימשכו", כתב בלומנטל.
"הדברים למעשה החמירו בצורה משמעותית"
על פי האמנה שלו, ה-FTC מוסמכת להעמיד לדין "פעולות ושיטות עסקיות בלתי הוגנים או מטעים". בעידן האינטרנט, משמעות הדבר הייתה יותר ויותר ללכת אחרי חברות הטוענות להגן על המידע הדיגיטלי של הצרכנים, אך למעשה אינן מצליחות לעמוד בטענות הציבוריות שלהן או להציג את ההגנות הללו בצורה שגויה.
ההסדר המקורי של טוויטר משנת 2011 נוצר מתוך שני אירועים לכאורה שבו האקרים הצליחו להתפשר על סיסמאות עובדים חלשות ולהשתמש לרעה בגישה שלהם כדי להשתלט על חשבונות טוויטר ולחטט במידע פרטי, למרות ההצהרות הפומביות של טוויטר על שמירה על פרטיות המשתמש ואבטחתו.
ההסדר של טוויטר לא היה הודאה בעוולה. אבל זה נדרש טוויטר תיצור "תוכנית אבטחת מידע מקיפה שתוכננה באופן סביר כדי להגן על האבטחה, הפרטיות, הסודיות והשלמות של מידע צרכני לא ציבורי" - התחייבות שלטענת זאטקו מעולם לא מולאה.
כחלק מהסדר ה-FTC האחרון שלה השנה, טוויטר התחייבה להתחייבויות אבטחת סייבר מפורטות עוד יותר, לרבות "מדיניות גישה ובקרות" עבור כל מסדי הנתונים המכילים נתוני משתמשים, כמו גם עבור מערכות שמעניקות לעובדים גישה לחשבונות טוויטר או שיש להם מידע ש"מאפשר או מקל" גישה למערכות פנימיות של טוויטר. החובות הללו כבר בתוקף לאחר חתימת שופט על הצו באביב הקרוב, מה שמגביר עוד יותר את החשיפה המשפטית הפוטנציאלית לטוויטר.
למרות הדרישות הרגולטוריות המתגברות של טוויטר, Zatko טוען שלא הרבה השתנה בחברה מאז התלונה הראשונית של ה-FTC לפני יותר מעשור.
"הדברים למעשה החמירו משמעותית", נטען בחשיפתו לקונגרס. החשיפה טוענת שאפילו כשטוויטר ניהלה משא ומתן פעיל על ההסדר השני עם ה-FTC בשנה שעברה, החברה, בתקרית נפרדת לחלוטין, אפשרה לחזור על אותו סוג של שימוש לרעה בנתונים למטרות פרסום.
בתגובה ליותר מ-50 שאלות ספציפיות מ-CNN הקשורות לחשיפה, טוויטר לא התייחסה לטענתו של זטקו סביב התקרית. היא אכן הכירה בכך שצוותי ההנדסה והמוצרים שלה יכולים לגשת לסביבת הייצור החיה של טוויטר בתנאי שיש להם הצדקה עסקית ספציפית, והוסיפה שחברי מחלקות אחרות - כגון פיננסים, משפטים, שיווק, מכירות, משאבי אנוש ותמיכה - אינם יכולים. טוויטר גם אמרה ל-CNN שמחשבי עובדים נבדקים אוטומטית כדי לקבוע אם הם מעודכנים, ואלה שנכשלו בבדיקות לא יכולים להתחבר לייצור.
פוטנציאל ליישוב או תביעה חדשה
ההימור בחשיפה עשוי להיות משמעותי ביותר. ממצא של FTC כי טוויטר הפרה את הצו שלה בפעם השלישית עלול לגרום לעונשים הקשים ביותר שהסוכנות הטילה אי פעם על החברה. כמו כן, ה-FTC יושבת כיום על ידי לינה חאן, א ספקן קולני של פלטפורמות טכנולוגיות ומה שהיא מכנה תעשיית "מעקב מסחרי" שמרוויחה מכללי פרטיות לאומיים רופפים. תחת חאן, ה-FTC שוקל גיוס תקנות פרטיות חדשות וגורפות שיכולים להשפיע ישירות על חברות ברחבי הכלכלה, כולל טוויטר, והאופן שבו הן אוספות, משתמשות ומשתפות נתונים אישיים.
אם ה-FTC יגיע למסקנה שהתרחשה הפרה, יהיו לו שתי אפשרויות עיקריות להטיל אחריות על טוויטר, אומרים בכירים בסוכנות לשעבר. היא יכולה לבקש פשרה שלישית עם החברה, או שהיא יכולה לתבוע את טוויטר על צווי ההסכמה הקיימים ולבקש מבית משפט עונשים מתאימים.
במקרה של פשרה, ה-FTC יכול אפילו לבקש לנקוב בשמות של מנהלים בודדים - ולחייב אותם באחריות אישית ולאלץ אותם לקבל התחייבויות על התנהגותם שלהם, שעלולים להטיל עליהם אחריות אם הם או החברה יפרו שוב את הצו.
אם יתברר שטוויטר אכן הפרה את התחייבויותיה החוקיות, אמר ליבוביץ, על ה-FTC "לשקול ברצינות רבה... לפקח על המנהלים האחראים".
עצם האיום של שמות מנהלים בודדים יכול להיות יעיל, הוא הוסיף. בתקופתו כיו"ר ה-FTC, ליבוביץ' נזכר, "אני לא יכול להגיד לך כמה מנכ"לים נכנסו למשרד שלי ואמרו, 'אנא אל תקרא לי. אני פשוט לא רוצה להשמיע את השם. לא אכפת לי אם אשלם יותר כסף; לא אכפת לי שהחברה שלי תהיה תחת פקודה חזקה יותר. אבל אני פשוט לא רוצה שיקימו אותי'”.
מייגן גריי, עורכת דין לשעבר לאכיפת ה-FTC שעבדה על כמה ממקרי הפרטיות הגדולים ביותר של הסוכנות, אמרה שהכלים העומדים לרשות ה-FTC הם רבים. (CNN דיבר עם גריי לפני שההאשמות של זטקו הפכו לפומביות ומבלי לחשוף את קיומן, ואז שוב ביום שלישי לאחר ש-CNN והוושינגטון פוסט דיווחו על חשיפת זטקו.)
"קנסות מתגברים, יותר דוחות ציות, יותר בקרה מפורטת והגבלות על ענפי העסקים שלהם", אמר גריי וסימן רשימה של אפשרויות. "או דרישה לקבל פרסומות באישור מראש על ידי הסוכנות, או להחריג אותן מסוגים מסוימים של עסקאות".
סוכנות שזקוקה ליותר כלים כדי לתת דין וחשבון לחברות
טוויטר ציטטה את ביקורת הצד השלישי שלה כראיה שהיא עמדה בהתחייבויות ה-FTC שלה. אבל באופן כללי, הדרך שבה דרישות הביקורת של ה-FTC פועלות לעתים קרובות בפועל יכולה לשחרר חברות בקלות רבה מדי, אמר גריי.
לדוגמה, הזמנות רבות של FTC כתובות בצורה רחבה מספיק כדי לאפשר לחברה לעמוד בהתחייבויותיה בהתבסס, בין היתר, על "הוכחות" שהן עומדות בדרישות - הבטחה זרת, אמר גריי ל-CNN. בדיווחים ל-FTC, חברות המבצעות ביקורת של צד שלישי עשויות פשוט לומר, או לצטט הצהרות של החברה בביקורת, שהחברה עומדת בדרישות.
מ-2011 עד 2022, צו ההסכמה של טוויטר עם ה-FTC אפשר דוחות ביקורת המבוססים על עדויות. לאחר מכן, בהסדר השני שלו השנה, ה-FTC הפך את דרישות הביקורת לספציפיות יותר, ומנע ממבקרי הצד השלישי של טוויטר להסתמך "בעיקר" על אישורים של הנהלת טוויטר.
אפילו עם הגבלות מסוג זה, עדיין יש סיבות להיות סקפטיים לגבי דוחות ביקורת FTC, אמר גריי. הסיבה לכך היא שמבקרי צד שלישי מקבלים שכר לא על ידי ה-FTC, אלא על ידי החברות שנבדקות, היא אמרה.
"אז התמריצים הם לגמרי מופרכים עבור חברות הביקורת", הוסיף גריי.
טוויטר אמרה ל-CNN שביקורות הן רק אחת מתכניות הפרטיות והאבטחה שיש לטוויטר לעמוד בהתחייבויות ה-FTC שלה.
רבים מפקידי ה-FTC בהווה ובעבר, כמו גם מחוקקים ותומכי צרכנים בארה"ב, דחפו לתת ל-FTC יותר כלים להטיל אחריות על עסקים, במיוחד לאחר בית המשפט העליון בשנה שעברה נפל היכולת של הסוכנות לבקש סעד כספי בנסיבות מסוימות.
כמה תומכים בפיקוח נוקשה יותר קראו, לדוגמה, לתת ל-FTC להנפיק קנסות לחברות בגין הפרות לראשונה של חוק ה-FTC. נכון לעכשיו, ה-FTC עשוי בדרך כלל רק לבקש להטיל עונשים אזרחיים על חברה לאחר שהפר הסדר קודם.
במקרה של טוויטר, משא ומתן על צו הסכמה בפעם השלישית עשוי להיראות כמו מבט מוזר, אמר גורם אחר ב-FTC לשעבר, שדיבר בעילום שם כדי לדבר בכנות יותר. אבל במקרה שהוא ימצא הפרה, וכמו בכל מקרה, ה-FTC יצטרך לשקול את מה שהוא מאמין שהוא יכול להשיג מטוויטר באמצעות הסדר מול מה שהסוכנות עשויה לזכות מבית משפט קמא.
ישנם סיכונים בהתדיינות משפטית ממושכת וממושכת, שבה בית משפט עשוי למעשה לפסוק פחות את ה-FTC, אמר הבכיר לשעבר.
"יש אנשים שחושבים שהפקודות האלה הן כמעט כלום", אמר הפקיד לשעבר, "אבל הן לא. אולי במקרים מסוימים הם כן, וחברות לא לוקחות אותם ברצינות. אבל בהרבה מקרים הם כן, וה-FTC יכול לגרום לכאב רב. הרבה כאב."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., חברת Warner Bros. Discovery. כל הזכויות שמורות.
