Uma explosiva divulgação de denunciantes pelo ex-chefe de segurança do Twitter nesta semana expõe a empresa a novas investigações federais e potencialmente bilhões de dólares em multas, obrigações regulatórias mais duras ou outras penalidades do governo dos EUA, segundo especialistas legais e ex-funcionários federais.
O Twitter enfrenta enormes riscos legais decorrentes da divulgação do denunciante por Peiter “Mudge” Zatko, que alega em um divulgação de quase 200 páginas às autoridades que a empresa está repleta de falhas de segurança da informação - e que em alguns casos seus executivos enganaram seu próprio conselho e o público sobre a condição da empresa, se não cometeram fraude total.
O Twitter acusou Zatko, que trabalhou na empresa de novembro de 2020 até ser demitido em janeiro deste ano pelo que o Twitter diz ser um desempenho ruim, de divulgar “uma narrativa falsa sobre o Twitter e nossas práticas de privacidade e segurança de dados repleta de inconsistências e imprecisões e carece de contexto importante.” Zatko é um especialista em segurança cibernética altamente conceituado com experiência em cargos seniores no Google, Stripe e no Departamento de Defesa. Sua divulgação de denunciante foi relatada pela primeira vez pela CNN e pelo The Washington Post na terça-feira.
Cumprimento de um acordo de privacidade da FTC de 2011
Em sua divulgação ao governo dos EUA, Zatko afirma que o Twitter sofre “deficiências flagrantes” em sua postura de segurança cibernética, enganou deliberadamente os reguladores sobre o manuseio de dados de usuários e que a empresa não está cumprindo suas obrigações sob um Acordo de privacidade de 2011 com a Federal Trade Commission — uma ordem juridicamente vinculativa que exige, entre outras coisas, a criação de “salvaguardas razoáveis” para proteger as informações pessoais dos usuários. A FTC se recusou a comentar a divulgação.
A revelação condenatória de Zatko alega que cerca de metade dos funcionários do Twitter, incluindo todos os seus engenheiros, têm acesso interno excessivo ao produto ao vivo da empresa, conhecido dentro da empresa como “produção”, juntamente com dados reais do usuário. Também alega que a empresa não tem capacidade de se defender contra ameaças internas, governos estrangeiros e vazamentos acidentais de dados.
“Um princípio fundamental de engenharia e segurança é que o acesso a ambientes de produção ao vivo deve ser limitado o máximo possível”, diz a divulgação. “Mas no Twitter, os engenheiros construíram, testaram e desenvolveram novos softwares diretamente na produção, com acesso a dados de clientes ao vivo e outras informações confidenciais no sistema do Twitter.”
Denunciante do Twitter alega políticas de segurança cibernética imprudentes e negligentes
O Twitter disse à CNN que seu registro de conformidade com a FTC fala por si, citando auditorias de terceiros arquivadas na agência sob a ordem de consentimento de 2011. O Twitter acrescentou que está em conformidade com os regulamentos de privacidade relevantes e que tem sido transparente com os reguladores sobre seus esforços para corrigir quaisquer deficiências em seus sistemas. Zatko não participou do trabalho de auditoria e não compreendeu totalmente as obrigações da FTC do Twitter ou como a empresa as estava cumprindo, disse o Twitter.
A divulgação afirma que a equipe de Zatko estava “intimamente familiarizada” com os problemas do Twitter antes da FTC e que foram eles que disseram a Zatko que o Twitter nunca estava em conformidade com a ordem de 2011, nem a caminho de se tornar compatível.
“Nós absolutamente mantemos o conteúdo da divulgação de Mudge”, disse John Tye, advogado de Zatko e fundador da Whistleblower Aid, a organização que o representa, à CNN.
Zatko pode ser elegível para um prêmio monetário do governo dos EUA como resultado de suas atividades de denunciante. “Informações originais, oportunas e confiáveis que levam a uma ação de execução bem-sucedida” pela SEC podem render aos denunciantes um corte de até 30% nas multas da agência relacionadas à ação se as penalidades chegarem a mais de US$ 1 milhão, disse a SEC. A SEC concedeu mais de US$ 1 bilhão a mais de 270 denunciantes desde 2012.
Zatko apresentou sua divulgação à SEC “para ajudar a agência a aplicar as leis” e para obter proteções federais para denunciantes, disse Tye. “A perspectiva de uma recompensa não foi um fator na decisão de Mudge e, na verdade, ele nem sabia sobre o programa de recompensas quando decidiu se tornar um denunciante legal.”
A divulgação do denunciante ocorre meses após a FTC levantou suas próprias acusações que o Twitter usou indevidamente as informações de segurança da conta para fins de publicidade, violando a ordem de 2011. Twitter concordou em pagar $ 150 milhões em maio para resolver essas reivindicações, em uma segunda liquidação da FTC.
Agora, a divulgação de Zatko levanta a perspectiva de mais uma possível violação dos compromissos da FTC do Twitter – uma posição extraordinariamente perigosa para uma empresa e seus executivos, de acordo com Jon Leibowitz, que era presidente da FTC na época do acordo do Twitter em 2011.
“Se os fatos forem verdadeiros, eles constituiriam violações da ordem e do FTC Act – e isso faria do Twitter um perdedor três vezes”, disse Leibowitz à CNN em entrevista. “Não haveria razão para a FTC não jogar o livro neles.” Claro, acrescentou Leibowitz, a FTC precisaria conduzir uma investigação completa primeiro para determinar se uma nova violação ocorreu.
O senador Richard Blumenthal, presidente do subcomitê de proteção ao consumidor do Senado e ex-procurador-geral de Connecticut, disse em comunicado na terça-feira que as divulgações de Zatko “revelam que a responsabilidade pelas falhas de segurança do Twitter cabe aos que estão no topo”.
Ele ainda pediu à FTC em uma carta para investigar as alegações, dizendo que as autoridades devem multar e responsabilizar pessoalmente os executivos do Twitter se for descoberto que eles foram responsáveis por violações da Lei da FTC ou da ordem de consentimento do Twitter. A própria credibilidade da FTC está em jogo, disse Blumenthal na carta, que também foi enviada à FTC na terça-feira.
“Se a Comissão não supervisionar e aplicar vigorosamente suas ordens, elas não serão levadas a sério e essas violações perigosas continuarão”, escreveu Blumenthal.
“As coisas realmente ficaram significativamente piores”
De acordo com seu estatuto, a FTC está autorizada a processar “atos e práticas comerciais desleais ou enganosos”. Na era da internet, isso significa cada vez mais ir atrás de empresas que afirmam proteger as informações digitais dos consumidores, mas que, na verdade, não cumprem suas reivindicações públicas ou deturpam essas proteções.
O acordo original de 2011 do Twitter surgiu de dois supostos incidentes onde os hackers conseguiram comprometer senhas fracas de funcionários e usar indevidamente seu acesso para assumir contas do Twitter e bisbilhotar informações privadas, apesar das declarações públicas do Twitter sobre proteger a privacidade e a segurança do usuário.
O acordo do Twitter não foi uma admissão de irregularidades. Mas isso requeridos Twitter para criar “um programa abrangente de segurança da informação que seja razoavelmente projetado para proteger a segurança, privacidade, confidencialidade e integridade de informações não públicas do consumidor” – um compromisso que Zatko alega nunca ter sido cumprido.
Como parte de seu mais recente acordo da FTC este ano, o Twitter se comprometeu com obrigações de segurança cibernética ainda mais granulares, incluindo “políticas e controles de acesso” para todos os bancos de dados que contenham dados de usuários, bem como para sistemas que concedem aos funcionários acesso às contas do Twitter ou que possuem informações que “permita ou facilite” o acesso aos sistemas internos do Twitter. Essas obrigações já estão em vigor após a assinatura da ordem por um juiz nesta primavera, aumentando ainda mais a potencial exposição legal para o Twitter.
Apesar dos crescentes requisitos regulatórios do Twitter, Zatko alega que não mudou muito na empresa desde a reclamação inicial da FTC há mais de uma década.
“As coisas realmente ficaram significativamente piores”, alega sua divulgação ao Congresso. A divulgação afirma que, embora o Twitter estivesse negociando ativamente o segundo acordo com a FTC no ano passado, a empresa, em um incidente totalmente separado, permitiu que o mesmo tipo de uso indevido de dados para fins publicitários se repetisse.
Em resposta a mais de 50 perguntas específicas da CNN relacionadas à divulgação, o Twitter não abordou a alegação de Zatko em torno desse incidente. Ele reconheceu que suas equipes de engenharia e produtos podem acessar o ambiente de produção ao vivo do Twitter, desde que tenham uma justificativa comercial específica, acrescentando que os membros de outros departamentos – como financeiro, jurídico, marketing, vendas, recursos humanos e suporte – não podem. O Twitter também disse à CNN que os computadores dos funcionários são verificados automaticamente para determinar se estão atualizados, e aqueles que falham nas verificações não podem se conectar à produção.
Potencial para novo acordo ou processo
Os riscos da divulgação podem ser extremamente significativos. Uma descoberta da FTC de que o Twitter violou sua ordem pela terceira vez pode resultar nas penalidades mais severas que a agência já impôs à empresa. A FTC também é atualmente presidida por Lina Khan, uma cético vocal de plataformas de tecnologia e do que ela chama de indústria de “vigilância comercial” que lucra com as regras de privacidade nacionais frouxas. Sob Khan, a FTC está considerando redigir varrendo novos regulamentos de privacidade que podem afetar diretamente as empresas em toda a economia, incluindo o Twitter, e como elas coletam, usam e compartilham dados pessoais.
Caso a FTC conclua que uma violação ocorreu, teria duas opções principais para responsabilizar o Twitter, dizem ex-funcionários da agência. Ele pode buscar um terceiro acordo com a empresa ou processar o Twitter sobre as ordens de consentimento existentes e pedir a um tribunal as penalidades apropriadas.
No caso de um acordo, a FTC poderia até tentar nomear executivos individuais – responsabilizando-os pessoalmente e forçando-os a aceitar obrigações sobre sua própria conduta pelas quais poderiam ser responsabilizados se eles ou a empresa violassem a ordem novamente.
Se o Twitter violou suas obrigações legais, disse Leibowitz, a FTC deveria “considerar muito seriamente… colocar os executivos responsáveis sob ordem”.
A mera ameaça de nomear executivos individuais pode ser eficaz, acrescentou. Durante seu tempo como presidente da FTC, Leibowitz lembrou: “Não posso dizer quantos CEOs vieram ao meu escritório dizendo: 'Por favor, não me dê um nome. Só não quero ser nomeado. Eu não me importo se eu pagar mais dinheiro; Não me importo se minha empresa for colocada sob uma ordem mais forte. Mas eu simplesmente não quero ser nomeado.'”
Megan Gray, uma ex-advogada da FTC que trabalhou em alguns dos maiores casos de privacidade da agência, disse que as ferramentas à disposição da FTC são numerosas. (A CNN falou com Gray antes das alegações de Zatko se tornarem públicas e sem divulgar sua existência, e novamente na terça-feira depois que a CNN e o Washington Post relataram a divulgação de Zatko.)
“Culturas crescentes, mais relatórios de conformidade, controles mais granulares e restrições em suas linhas de negócios”, disse Gray, assinalando uma lista de opções. “Ou um requisito para obter anúncios pré-aprovados pela agência, ou excluindo-os de certos tipos de transações.”
Uma agência que precisa de mais ferramentas para responsabilizar as empresas
O Twitter citou suas auditorias de terceiros como evidência de que manteve seus compromissos com a FTC. Mas, em geral, a maneira como os requisitos de auditoria da FTC geralmente funcionam na prática pode deixar as empresas fora do gancho com muita facilidade, disse Gray.
Por exemplo, muitos pedidos da FTC são escritos de forma ampla o suficiente para permitir que uma empresa cumpra suas obrigações com base, entre outras coisas, em “atestados” de que estão em conformidade – uma promessa de dedo mindinho, disse Gray à CNN. Em relatórios para a FTC, as empresas que realizam auditorias de terceiros podem simplesmente dizer, ou citar declarações da empresa auditada, que a empresa está em conformidade.
De 2011 a 2022, o pedido de consentimento do Twitter com a FTC permitiu relatórios de auditoria com base em atestados. Então, em seu segundo acordo este ano, a FTC tornou os requisitos de auditoria mais específicos, impedindo que os auditores terceirizados do Twitter confiassem “principalmente” em atestados da administração do Twitter.
Mesmo com esses tipos de restrições, ainda há razões para ser cético em relação aos relatórios de auditoria da FTC, disse Gray. Isso porque os auditores terceirizados são pagos não pela FTC, mas pelas empresas que estão sendo auditadas, disse ela.
“Assim, os incentivos estão completamente fora de controle para as empresas de auditoria”, acrescentou Gray.
O Twitter disse à CNN que as auditorias são apenas um dos programas de privacidade e segurança que o Twitter tem para cumprir suas obrigações da FTC.
Muitos atuais e ex-funcionários da FTC, bem como legisladores e defensores do consumidor dos EUA, pressionaram para dar à FTC mais ferramentas para responsabilizar as empresas, principalmente após a Suprema Corte no ano passado derrubado a capacidade da agência de buscar alívio monetário em algumas circunstâncias.
Alguns defensores de uma supervisão mais rígida têm chamado, por exemplo, permitir que a FTC emita multas a empresas por violações pela primeira vez da FTC Act. Atualmente, o FTC geralmente só pode tentar impor penalidades civis a uma empresa depois de ter violado um acordo anterior.
No caso do Twitter, negociar uma ordem de consentimento pela terceira vez pode parecer estranho, disse outro ex-funcionário da FTC, falando sob condição de anonimato para falar com mais franqueza. Mas no caso de encontrar uma violação e, como em qualquer caso, a FTC precisará pesar o que acredita que pode obter do Twitter por meio de um acordo contra o que a agência pode ganhar em um tribunal de primeira instância.
Existem riscos para litígios longos e prolongados, em que um tribunal pode realmente conceder menos à FTC, disse o ex-funcionário.
“Algumas pessoas pensam que essas ordens não são nada”, disse o ex-funcionário, “mas não são. Talvez em alguns casos sejam, e as empresas não os levem a sério. Mas em muitos casos eles fazem, e a FTC pode exigir muita dor. Muita dor."
The-CNN-Wire™ e © 2022 Cable News Network, Inc., uma empresa de descoberta da Warner Bros. Todos os direitos reservados.
