En eksplosiv avsløring av varslere fra Twitters tidligere sikkerhetssjef denne uken utsetter selskapet for nye føderale etterforskninger og potensielt milliarder av dollar i bøter, strengere regulatoriske forpliktelser eller andre straffer fra den amerikanske regjeringen, ifølge juridiske eksperter og tidligere føderale tjenestemenn.
Twitter står overfor enorme juridiske risikoer som stammer fra varslerens avsløring av Peiter "Mudge" Zatko, som hevder i en nesten 200 siders avsløring til myndighetene at selskapet er full av informasjonssikkerhetsfeil – og at dets ledere i noen tilfeller har villedet dets eget styre og offentligheten på selskapets tilstand, om ikke utført direkte svindel.
Twitter har anklaget Zatko, som jobbet i selskapet fra november 2020 til han ble sparket i januar for det Twitter sier var dårlig ytelse, for å ha fremført «en falsk fortelling om Twitter og vår personvern- og datasikkerhetspraksis som er full av inkonsekvenser og unøyaktigheter og mangler viktig kontekst." Zatko er en høyt ansett cybersikkerhetsekspert med erfaring fra seniorroller i Google, Stripe og forsvarsdepartementet. Hans avsløring av varsleren ble først rapportert av CNN og The Washington Post tirsdag.
Overholdelse av et personvernforlik fra FTC fra 2011
I sin avsløring til den amerikanske regjeringen hevder Zatko at Twitter lider av "grove mangler" i sin cybersikkerhetsstilling, bevisst villedet regulatorer om håndteringen av brukerdata og at selskapet ikke lever opp til sine forpliktelser i henhold til en 2011 personvernforlik med Federal Trade Commission - en juridisk bindende ordre som blant annet krever opprettelse av "rimelige sikkerhetstiltak" for å beskytte brukernes personlige opplysninger. FTC nektet å kommentere avsløringen.
Zatkos fordømmende avsløring hevder at omtrent halvparten av Twitter-ansatte, inkludert alle dets ingeniører, har overdreven intern tilgang til selskapets live-produkt, kjent i selskapet som "produksjon", sammen med faktiske brukerdata. Det hevdes også at selskapet mangler evnen til å forsvare seg mot innsidetrusler, utenlandske myndigheter og utilsiktede datalekkasjer.
"Et grunnleggende ingeniør- og sikkerhetsprinsipp er at tilgang til levende produksjonsmiljøer bør begrenses så mye som mulig," heter det i avsløringen. "Men på Twitter bygde, testet og utviklet ingeniører ny programvare direkte i produksjon med tilgang til live kundedata og annen sensitiv informasjon i Twitters system."
Twitter-varsleren hevder hensynsløs og uaktsom cybersikkerhetspolitikk
Twitter har fortalt CNN at deres FTC-overholdelsesrekord taler for seg selv, og siterer tredjepartsrevisjoner innlevert til byrået under samtykkeordren fra 2011. Twitter la til at det er i samsvar med relevante personvernforskrifter og at det har vært åpent med regulatorer om arbeidet med å fikse eventuelle mangler i systemene. Zatko deltok ikke i revisjonsarbeidet og forsto ikke fullt ut Twitters FTC-forpliktelser eller hvordan selskapet oppfylte dem, sa Twitter.
Avsløringen hevder at Zatkos ansatte var "nøyt kjent" med Twitters problemer før FTC, og at det var de som fortalte Zatko at Twitter aldri var i samsvar med 2011-ordren, og heller ikke på vei til å bli kompatibel.
"Vi står absolutt ved innholdet i Mudges avsløring," sa John Tye, Zatkos advokat og grunnlegger av Whistleblower Aid, organisasjonen som representerer ham, til CNN.
Zatko kan være kvalifisert for en pengepremie fra den amerikanske regjeringen som et resultat av hans varslere. "Original, rettidig og troverdig informasjon som fører til en vellykket håndhevingshandling" av SEC kan gi varslere opptil 30 % kutt i byråets bøter knyttet til handlingen hvis straffene beløper seg til mer enn $1 million, har SEC sagt. SEC har tildelt mer enn 1 milliard dollar til mer enn 270 varslere siden 2012.
Zatko sendte inn sin avsløring til SEC «for å hjelpe byrået med å håndheve lovene» og for å oppnå beskyttelse av føderale varslere, sa Tye. "Utsiktene til en belønning var ikke en faktor i Mudges avgjørelse, og faktisk visste han ikke engang om belønningsprogrammet da han bestemte seg for å bli en lovlig varsler."
Varslerens avsløring kommer måneder etter FTC fremmet sine egne påstander at Twitter misbrukte kontosikkerhetsinformasjon til reklameformål i strid med 2011-ordren. Twitter ble enige om å betale $ 150 millioner mai for å løse disse kravene, i et andre FTC-oppgjør.
Nå øker Zatkos avsløring muligheten for enda et mulig brudd på Twitters FTC-forpliktelser - en usedvanlig farlig posisjon for et selskap og dets ledere å være i, ifølge Jon Leibowitz, som var styreleder for FTC på tidspunktet for Twitters 2011-oppgjør.
"Hvis fakta er sanne, vil de utgjøre brudd på ordenen og FTC-loven - og det vil gjøre Twitter til en tre ganger taper," sa Leibowitz til CNN i et intervju. "Det ville ikke være noen grunn for FTC å ikke kaste boken etter dem." Selvfølgelig, la Leibowitz til, vil FTC måtte gjennomføre en grundig etterforskning først for å avgjøre selv om et nytt brudd har skjedd.
Senator Richard Blumenthal, leder av Senatets underutvalg for forbrukerbeskyttelse og en tidligere riksadvokat i Connecticut, sa i en uttalelse tirsdag at Zatkos avsløringer «avslører at ansvaret for Twitters sikkerhetssvikt ligger hos de øverste».
Han oppfordret videre FTC i et brev til å undersøke påstandene, og sa at tjenestemenn burde bøtelegge og holde Twitter-ledere personlig ansvarlige hvis det blir funnet at de var ansvarlige for brudd på FTC-loven eller Twitters samtykkeordre. FTCs egen troverdighet er på spill, sa Blumenthal i brevet, som også ble sendt til FTC tirsdag.
"Hvis kommisjonen ikke overvåker og håndhever sine ordrer kraftig, vil de ikke bli tatt på alvor, og disse farlige bruddene vil fortsette," skrev Blumenthal.
«Ting ble faktisk betydelig verre»
I henhold til sitt charter er FTC autorisert til å straffeforfølge «urettferdige eller villedende forretningshandlinger og praksiser». I internettalderen har det i økende grad betydd å gå etter selskaper som hevder å beskytte forbrukernes digitale informasjon, men som faktisk ikke klarer å leve opp til sine offentlige påstander eller gir en feilaktig fremstilling av disse beskyttelsene.
Twitters opprinnelige 2011-oppgjør oppsto fra to påståtte hendelser hvor hackere var i stand til å kompromittere svake ansattes passord og misbruke tilgangen deres til å overta Twitter-kontoer og snoke i privat informasjon, til tross for Twitters offentlige uttalelser om å ivareta brukernes personvern og sikkerhet.
Twitters forlik var ikke en innrømmelse av forseelser. Men det påkrevd Twitter for å lage "et omfattende informasjonssikkerhetsprogram som er rimelig utformet for å beskytte sikkerheten, personvernet, konfidensialiteten og integriteten til ikke-offentlig forbrukerinformasjon" - en forpliktelse Zatko hevder aldri har blitt oppfylt.
Som en del av det siste FTC-oppgjøret i år, forpliktet Twitter seg til enda mer detaljerte cybersikkerhetsforpliktelser, inkludert å ha "tilgangspolicyer og kontroller" for alle databaser som inneholder brukerdata, så vel som for systemer som enten gir ansatte tilgang til Twitter-kontoer eller som har informasjon som "aktiverer eller letter" tilgang til interne Twitter-systemer. Disse forpliktelsene er allerede i kraft etter en dommers signering av ordren denne våren, noe som ytterligere øker den potensielle juridiske eksponeringen for Twitter.
Til tross for Twitters økende regulatoriske krav, hevder Zatko at ikke mye har endret seg i selskapet siden FTCs første klage for mer enn et tiår siden.
"Ting ble faktisk betydelig verre," hevder hans avsløring til kongressen. Avsløringen hevder at selv mens Twitter aktivt forhandlet om det andre oppgjøret med FTC i fjor, tillot selskapet, i en helt separat hendelse, den samme typen misbruk av data til reklameformål å gjenta seg.
Som svar på mer enn 50 spesifikke spørsmål fra CNN knyttet til avsløringen, tok ikke Twitter opp Zatkos påstand rundt hendelsen. Det erkjente at dets ingeniør- og produktteam har tilgang til Twitters live-produksjonsmiljø forutsatt at de har en spesifikk forretningsbegrunnelse, og legger til at medlemmer av andre avdelinger – som finans, juridisk, markedsføring, salg, menneskelige ressurser og støtte – ikke kan. Twitter fortalte også CNN at ansattes datamaskiner blir automatisk sjekket for å finne ut om de er oppdaterte, og de som ikke klarer kontrollene kan ikke koble seg til produksjonen.
Potensial for nytt oppgjør eller drakt
Innsatsen ved avsløringen kan være enormt betydelig. En FTC-konstatering av at Twitter har brutt sin ordre en tredje gang kan resultere i de strengeste straffene byrået noen gang har ilagt selskapet. FTC ledes også for tiden av Lina Khan, en vokal skeptiker til teknologiske plattformer og av det hun kaller en "kommersiell overvåkingsindustri" som tjener på slappe nasjonale personvernregler. Under Khan vurderer FTC å utarbeide utkast feiende nye personvernforskrifter som direkte kan påvirke selskaper over hele økonomien, inkludert Twitter, og hvordan de samler inn, bruker og deler personopplysninger.
Skulle FTC konkludere med at et brudd skjedde, ville det ha to hovedalternativer for å holde Twitter ansvarlig, sier tidligere byråets tjenestemenn. Det kan søke et tredje oppgjør med selskapet, eller det kan saksøke Twitter over eksisterende samtykkeordre og be en domstol om passende straffer.
I tilfelle av et oppgjør, kan FTC til og med søke å navngi individuelle ledere - holde dem personlig ansvarlige og tvinge dem til å akseptere forpliktelser på sin egen oppførsel som de kan holdes ansvarlige for hvis de eller selskapet bryter ordren igjen.
Hvis det viser seg at Twitter brøt sine juridiske forpliktelser, sa Leibowitz, bør FTC "svært seriøst vurdere ... å sette de ansvarlige lederne under orden."
Bare trusselen om å navngi individuelle ledere kan være effektiv, la han til. I løpet av sin tid som FTC-leder husket Leibowitz: "Jeg kan ikke fortelle deg hvor mange administrerende direktører som kom inn på kontoret mitt og sa: 'Vennligst ikke gi meg navn. Jeg vil bare ikke bli navngitt. Jeg bryr meg ikke om jeg betaler mer penger; Jeg har ikke noe imot om selskapet mitt blir satt under en sterkere ordre. Men jeg vil bare ikke bli navngitt."
Megan Gray, en tidligere FTC-håndhevelsesadvokat som har jobbet med noen av byråets største personvernsaker, sa at verktøyene til FTCs disposisjon er mange. (CNN snakket med Gray før Zatkos påstander ble offentlige og uten å avsløre deres eksistens, og deretter igjen på tirsdag etter at CNN og The Washington Post rapporterte Zatkos avsløring.)
«Eskalerende bøter, flere overholdelsesrapporter, mer detaljerte kontroller og begrensninger på deres bransjer,» sa Gray og krysset av en liste over alternativer. "Eller et krav om å få annonser forhåndsgodkjent av byrået, eller ekskludere dem fra visse typer transaksjoner."
Et byrå som trenger flere verktøy for å holde selskaper ansvarlige
Twitter har sitert sine tredjepartsrevisjoner som bevis på at de har opprettholdt sine FTC-forpliktelser. Men generelt sett kan måten FTCs revisjonskrav ofte fungerer på i praksis, la selskapene komme ut av kroken altfor lett, sa Gray.
For eksempel er mange FTC-ordrer skrevet bredt nok til å tillate et selskap å tilfredsstille sine forpliktelser basert på blant annet "attester" om at de er kompatible - et lite løfte, sa Gray til CNN. I rapporter til FTC kan selskaper som utfører tredjepartsrevisjoner ganske enkelt si, eller sitere uttalelser fra selskapet under revisjon, at selskapet er i samsvar.
Fra 2011 til 2022 tillot Twitters samtykkeordre med FTC for revisjonsrapporter basert på attester. Så, i sitt andre oppgjør i år, gjorde FTC revisjonskravene mer spesifikke, og hindret Twitters tredjepartsrevisorer fra å stole "primært" på attester fra Twitters ledelse.
Selv med den typen restriksjoner, er det fortsatt grunner til å være skeptisk til FTC-revisjonsrapporter, sa Gray. Det er fordi tredjepartsrevisorer ikke betales av FTC, men av selskapene som blir revidert, sa hun.
"Så insentivene er helt ute av hånden for revisjonsselskapene," la Gray til.
Twitter fortalte CNN at revisjoner bare er ett av personvern- og sikkerhetsprogrammene Twitter har for å oppfylle sine FTC-forpliktelser.
Mange nåværende og tidligere FTC-tjenestemenn, så vel som amerikanske lovgivere og forbrukeradvokater, har presset på for å gi FTC flere verktøy for å holde virksomheter ansvarlige, spesielt etter Høyesterett i fjor slått ned byråets evne til å søke økonomisk lettelse under noen omstendigheter.
Noen tilhengere av tøffere tilsyn har etterlyst, for eksempel å la FTC utstede bøter til selskaper for førstegangsbrudd på FTC-loven. Foreløpig kan FTC generelt bare søke å pålegge et selskap sivile straffer etter at det har brutt et tidligere forlik.
Når det gjelder Twitter, kan det virke rart å forhandle om en samtykkeordre for en tredje gang, sa en annen tidligere FTC-tjenestemann, som snakket på betingelse av anonymitet for å snakke mer ærlig. Men i tilfelle den finner et brudd, og som i alle tilfeller, vil FTC måtte veie hva den tror den kan få fra Twitter gjennom et forlik mot hva byrået kan vinne fra en rettssak.
Det er risiko for lange, utstrakte rettssaker, der en domstol faktisk kan tildele FTC mindre, sa den tidligere tjenestemannen.
"Noen mennesker tror disse ordrene er liksom ingenting," sa den tidligere tjenestemannen, "men det er de ikke. Kanskje i noen tilfeller er de det, og selskaper tar dem ikke på alvor. Men i mange tilfeller gjør de det, og FTC kan kreve mye smerte. Mye smerte."
The-CNN-Wire™ og © 2022 Cable News Network, Inc., et Warner Bros. Discovery Company. Alle rettigheter forbeholdt.
