O dezvăluire explozivă a fostului șef al securității Twitter expune săptămâna aceasta compania la noi investigații federale și, eventual, miliarde de dolari în amenzi, obligații de reglementare mai dure sau alte sancțiuni din partea guvernului SUA, potrivit experților juridici și foștilor oficiali federali.
Twitter se confruntă cu riscuri juridice uriașe care decurg din dezvăluirea informatorului de către Peiter „Mudge” Zatko, care susține într-un dezvăluire de aproape 200 de pagini autorităților că compania este plină de defecte de securitate a informațiilor - și că, în unele cazuri, directorii săi și-au indus în eroare propriul consiliu și publicul în condiția companiei, dacă nu au fost comise fraude.
Twitter l-a acuzat pe Zatko, care a lucrat la companie din noiembrie 2020 până când a fost concediat în ianuarie pentru ceea ce Twitter spune că a fost performanță slabă, că a promovat „o narațiune falsă despre Twitter și practicile noastre de confidențialitate și securitate a datelor, care este plină de inconsecvențe și inexactități și lipsește contextul important.” Zatko este un expert în securitate cibernetică foarte apreciat, cu experiență în funcții de conducere la Google, Stripe și Departamentul de Apărare. Dezvăluirea lui a anunțului a fost raportată pentru prima dată de CNN și The Washington Post marți.
Respectarea unui acord de confidențialitate FTC din 2011
În dezvăluirea sa către guvernul SUA, Zatko susține că Twitter suferă de „deficiențe flagrante” în postura sa de securitate cibernetică, a indus în mod deliberat în eroare autoritățile de reglementare cu privire la gestionarea datelor utilizatorilor și că compania nu își îndeplinește obligațiile în temeiul unui Acordul de confidențialitate din 2011 cu Comisia Federală de Comerț — un ordin juridic obligatoriu care impune, printre altele, crearea de „garanții rezonabile” pentru a proteja informațiile personale ale utilizatorilor. FTC a refuzat să comenteze dezvăluirea.
Dezvăluirea condamnătoare a lui Zatko susține că aproximativ jumătate dintre angajații Twitter, inclusiv toți inginerii săi, au acces intern excesiv la produsul live al companiei, cunoscut în cadrul companiei ca „producție”, împreună cu datele reale ale utilizatorilor. De asemenea, susține că compania nu are capacitatea de a se apăra împotriva amenințărilor interne, a guvernelor străine și a scurgerilor accidentale de date.
„Un principiu fundamental de inginerie și securitate este că accesul la mediile de producție live ar trebui limitat pe cât posibil”, se spune în dezvăluire. „Dar la Twitter, inginerii au construit, testat și dezvoltat software nou direct în producție, cu acces la datele live ale clienților și alte informații sensibile în sistemul Twitter.”
Denunțătorul Twitter susține politici imprudente și neglijente de securitate cibernetică
Twitter a declarat pentru CNN că dosarul său de conformitate cu FTC vorbește de la sine, invocând audituri de la terți depuse agenției în conformitate cu ordinul de consimțământ din 2011. Twitter a adăugat că respectă reglementările relevante privind confidențialitatea și că a fost transparent cu autoritățile de reglementare în ceea ce privește eforturile sale de a remedia orice deficiențe în sistemele sale. Zatko nu a participat la activitatea de audit și nu a înțeles pe deplin obligațiile FTC ale Twitter sau modul în care compania le îndeplinea, a spus Twitter.
Dezvăluirea susține că personalul lui Zatko era „intim familiarizat” cu problemele Twitter în fața FTC și că ei au spus că Zatko Twitter nu a respectat niciodată ordinul din 2011 și nici pe cale să devină conform.
„Suntem cu siguranță cu conținutul dezvăluirii lui Mudge”, a declarat pentru CNN John Tye, avocatul lui Zatko și fondatorul Whistleblower Aid, organizația care îl reprezintă.
Zatko poate fi eligibil pentru un premiu în bani din partea guvernului SUA ca urmare a activităților sale de avertizare. „Informațiile originale, la timp și credibile care conduc la o acțiune de executare cu succes” din partea SEC pot aduce avertizorilor o reducere de până la 30% a amenzilor agenției legate de acțiune, dacă sancțiunile se ridică la mai mult de 1 milion de dolari, a spus SEC. SEC a acordat peste 1 miliard de dolari peste 270 de avertizori din 2012.
Zatko și-a depus dezvăluirea la SEC „pentru a ajuta agenția să aplice legile” și pentru a obține protecția federală a avertizorilor, a spus Tye. „Perspectiva unei recompense nu a fost un factor în decizia lui Mudge și, de fapt, el nici măcar nu știa despre programul de recompense atunci când a decis să devină un denunțător legal.”
Dezvăluirea avertizorilor vine la câteva luni după FTC și-a formulat propriile acuzații că Twitter a folosit greșit informațiile de securitate a contului în scopuri publicitare, încălcând ordinul din 2011. Stare de nervozitate a fost de acord să plătească 150 milioane de dolari în luna mai, pentru a soluționa aceste pretenții, într-un al doilea acord FTC.
Acum, dezvăluirea lui Zatko ridică perspectiva unei alte posibile încălcări a angajamentelor FTC ale Twitter – o poziție extraordinar de periculoasă pentru o companie și directorii săi, conform lui Jon Leibowitz, care era președintele FTC la momentul acordului Twitter din 2011.
„Dacă faptele sunt adevărate, ele ar constitui încălcări ale ordinului și ale Legii FTC – și asta ar face Twitter un învins de trei ori”, a declarat Leibowitz pentru CNN într-un interviu. „Nu ar exista niciun motiv ca FTC să nu arunce cartea în ei”. Desigur, a adăugat Leibowitz, FTC ar trebui să efectueze mai întâi o investigație amănunțită pentru a determina ea însăși dacă a avut loc o nouă încălcare.
Senatorul Richard Blumenthal, președintele subcomisiei pentru protecția consumatorilor din Senat și fost procuror general din Connecticut, a declarat marți într-o declarație că dezvăluirile lui Zatko „dezvăluie că responsabilitatea pentru defecțiunile de securitate ale Twitter revine celor din vârf”.
În plus, el a cerut FTC într-o scrisoare să investigheze acuzațiile, spunând că oficialii ar trebui să amendeze și să îi tragă la răspundere personal pe directorii Twitter dacă se descoperă că sunt responsabili pentru încălcarea Legii FTC sau a ordinului de consimțământ al Twitter. Credibilitatea proprie a FTC este în joc, a spus Blumenthal în scrisoarea, care a fost trimisă, de asemenea, FTC marți.
„Dacă Comisia nu supraveghează și pune în aplicare în mod energic ordinele sale, acestea nu vor fi luate în serios și aceste încălcări periculoase vor continua”, a scris Blumenthal.
„Lucrurile s-au înrăutățit semnificativ”
Conform statutului său, FTC este autorizată să urmărească „acte și practici comerciale neloiale sau înșelătoare”. În era internetului, asta a însemnat din ce în ce mai mult să urmărească companiile care pretind că protejează informațiile digitale ale consumatorilor, dar care, de fapt, nu reușesc să se ridice la înălțimea pretențiilor lor publice sau să denaturează aceste protecții.
Acordul inițial al Twitter din 2011 a apărut din două presupuse incidente unde hackerii au reușit să compromită parolele slabe ale angajaților și să-și folosească abuziv accesul pentru a prelua conturile Twitter și a căuta informații private, în ciuda declarațiilor publice ale Twitter privind protecția confidențialității și securității utilizatorilor.
Acordul Twitter nu a fost o recunoaștere a faptelor greșite. Dar necesar Twitter pentru a crea „un program cuprinzător de securitate a informațiilor care este conceput în mod rezonabil pentru a proteja securitatea, confidențialitatea, confidențialitatea și integritatea informațiilor non-publice ale consumatorilor” – un angajament pe care Zatko pretinde că nu a fost îndeplinit niciodată.
Ca parte a celui mai recent acord FTC din acest an, Twitter s-a angajat să respecte obligații de securitate cibernetică și mai granulare, inclusiv să aibă „politici și controale de acces” pentru toate bazele de date care conțin date despre utilizatori, precum și pentru sistemele care fie acordă angajaților acces la conturile Twitter, fie care au informații. care „permite sau facilitează” accesul la sistemele interne Twitter. Aceste obligații sunt deja în vigoare după semnarea ordinului de către judecător în această primăvară, sporind și mai mult expunerea legală potențială pentru Twitter.
În ciuda cerințelor de reglementare tot mai mari ale Twitter, Zatko susține că nu s-au schimbat prea multe la companie de la plângerea inițială a FTC în urmă cu mai bine de un deceniu.
„Lucrurile s-au înrăutățit semnificativ”, susține dezvăluirea sa către Congres. Dezvăluirea susține că, deși Twitter negocia în mod activ cel de-al doilea acord cu FTC anul trecut, compania, într-un incident complet separat, a permis să se repete același tip de utilizare abuzivă a datelor în scopuri publicitare.
Ca răspuns la peste 50 de întrebări specifice de la CNN legate de dezvăluire, Twitter nu a abordat acuzația lui Zatko cu privire la acel incident. A recunoscut că echipele sale de inginerie și de produs pot accesa mediul de producție live al Twitter cu condiția să aibă o justificare comercială specifică, adăugând că membrii altor departamente - cum ar fi finanțe, juridice, marketing, vânzări, resurse umane și asistență - nu pot. Twitter a mai spus pentru CNN că computerele angajaților sunt verificate automat pentru a determina dacă sunt actualizate, iar cele care eșuează verificările nu se pot conecta la producție.
Potențial pentru o nouă soluție sau proces
Miza dezvăluirii ar putea fi extrem de semnificativă. O constatare a FTC că Twitter și-a încălcat ordinul a treia oară ar putea duce la cele mai dure sancțiuni pe care agenția le-a impus vreodată companiei. FTC este, de asemenea, prezidată în prezent de Lina Khan, a sceptic vocal cu privire la platformele tehnologice și a ceea ce ea numește o industrie de „supraveghere comercială” care profită de regulile naționale laxe de confidențialitate. Sub Khan, FTC ia în considerare redactarea noi reglementări de confidențialitate care ar putea afecta direct companiile din întreaga economie, inclusiv Twitter, și modul în care acestea colectează, folosesc și partajează datele personale.
În cazul în care FTC concluzionează că a avut loc o încălcare, ar avea două opțiuni principale pentru a trage la răspundere Twitter, spun foștii oficiali ai agenției. Ar putea căuta o a treia înțelegere cu compania sau ar putea da în judecată Twitter pentru ordinele de consimțământ existente și ar putea cere unei instanțe penalități corespunzătoare.
În cazul unei înțelegeri, FTC ar putea chiar să încerce să numească directori individuali – tragându-i personal la răspundere și forțându-i să accepte obligații privind propria lor conduită pentru care ar putea fi trași la răspundere dacă ei sau compania încalcă din nou ordinul.
Dacă se dovedește că Twitter și-a încălcat obligațiile legale, a spus Leibowitz, FTC ar trebui „să ia în considerare foarte serios... punerea sub ordine a directorilor responsabili”.
Simpla amenințare de a numi directori individuali poate fi eficientă, a adăugat el. În perioada în care a fost președinte al FTC, Leibowitz și-a amintit: „Nu vă pot spune câți directori executivi au venit în biroul meu spunând: „Vă rog să nu mă numiți”. Doar că nu vreau să fiu numit. Nu mă deranjează dacă plătesc mai mulți bani; Nu mă deranjează dacă compania mea este pusă sub o comandă mai puternică. Dar pur și simplu nu vreau să fiu numită.”
Megan Gray, un fost avocat FTC care a lucrat la unele dintre cele mai mari cazuri de confidențialitate ale agenției, a declarat că instrumentele de care dispune FTC sunt numeroase. (CNN a vorbit cu Gray înainte ca acuzațiile lui Zatko să devină publice și fără a dezvălui existența lor, iar apoi din nou marți, după ce CNN și The Washington Post au raportat dezvăluirea lui Zatko.)
„Amenzi în creștere, mai multe rapoarte de conformitate, controale mai granulare și restricții asupra liniilor lor de activitate”, a spus Gray, bifând o listă de opțiuni. „Sau o cerință de a obține reclame preaprobate de către agenție sau de a le exclude din anumite tipuri de tranzacții.”
O agenție care are nevoie de mai multe instrumente pentru a trage la răspundere companiile
Twitter a citat auditurile sale terțe ca dovadă că și-a respectat angajamentele FTC. Dar, în general, modul în care cerințele de audit ale FTC funcționează adesea în practică poate permite companiilor să se desprindă mult prea ușor, a spus Gray.
De exemplu, multe comenzi FTC sunt scrise suficient de larg pentru a permite unei companii să-și îndeplinească obligațiile pe baza, printre altele, pe „atestări” conform cărora sunt conforme - o promisiune mică, a spus Gray pentru CNN. În rapoartele către FTC, companiile care efectuează audituri de la terți pot spune sau pot cita pur și simplu declarații ale companiei care face obiectul auditului că compania este în conformitate.
Din 2011 până în 2022, ordinul de consimțământ al Twitter cu FTC a permis rapoarte de audit bazate pe atestări. Apoi, în cel de-al doilea acord din acest an, FTC a făcut cerințele de audit mai specifice, interzicând auditorilor terți ai Twitter să se bazeze „în primul rând” pe atestările din partea conducerii Twitter.
Chiar și cu aceste tipuri de restricții, există încă motive pentru a fi sceptic față de rapoartele de audit FTC, a spus Gray. Asta pentru că auditorii terți sunt plătiți nu de FTC, ci de companiile auditate, a spus ea.
„Așadar, stimulentele sunt complet nepotrivite pentru companiile de audit”, a adăugat Gray.
Twitter a declarat pentru CNN că auditurile sunt doar unul dintre programele de confidențialitate și securitate pe care Twitter le are pentru a-și îndeplini obligațiile FTC.
Mulți oficiali actuali și foști ai FTC, precum și parlamentari americani și susținătorii consumatorilor, au făcut eforturi pentru a oferi FTC mai multe instrumente pentru a trage la răspundere întreprinderile, în special după Curtea Supremă de anul trecut. lovit capacitatea agenției de a căuta ajutor monetar în anumite circumstanțe.
Unii susținători ai unei supravegheri mai dure au cerut, de exemplu, permiterea FTC să emită amenzi companiilor pentru încălcarea pentru prima dată a Legii FTC. În prezent, FTC poate, în general, să încerce doar să impună sancțiuni civile unei companii după ce a încălcat o reglementare prealabilă.
În cazul Twitter, negocierea unui ordin de consimțământ pentru a treia oară poate părea o privire ciudată, a spus un alt fost oficial FTC, vorbind sub condiția anonimatului pentru a vorbi mai sincer. Dar în cazul în care constată o încălcare, și ca în orice caz, FTC va trebui să cântărească ceea ce crede că poate obține de la Twitter printr-o înțelegere față de ceea ce agenția ar putea câștiga de la o instanță de judecată.
Există riscuri pentru litigiile lungi, îndelungate, în care o instanță poate acorda de fapt FTC mai puțin, a spus fostul oficial.
„Unii oameni cred că aceste ordine nu sunt un fel de nimic”, a spus fostul oficial, „dar nu sunt. Poate că în unele cazuri sunt, iar companiile nu le iau în serios. Dar în multe cazuri o fac, iar FTC poate provoca multă durere. Multă durere.”
The-CNN-Wire™ și © 2022 Cable News Network, Inc., o companie Warner Bros. Discovery. Toate drepturile rezervate.
