En explosiv whistleblower-avslöjande från Twitters tidigare säkerhetschef denna vecka utsätter företaget för nya federala utredningar och potentiellt miljarder dollar i böter, hårdare regulatoriska skyldigheter eller andra påföljder från den amerikanska regeringen, enligt juridiska experter och tidigare federala tjänstemän.
Twitter står inför enorma juridiska risker som härrör från avslöjandet av whistleblower av Peiter "Mudge" Zatko, som hävdar i en nästan 200 sidor avslöjande till myndigheter att företaget är genomsyrat av informationssäkerhetsbrister — och att dess chefer i vissa fall har vilseleda den egna styrelsen och allmänheten på företagets villkor, om inte begått rent bedrägeri.
Twitter har anklagat Zatko, som arbetade på företaget från november 2020 tills han fick sparken i januari för vad Twitter säger var dålig prestation, för att driva "en falsk berättelse om Twitter och vår sekretess- och datasäkerhetspraxis som är full av inkonsekvenser och felaktigheter och saknar viktigt sammanhang.” Zatko är en högt ansedd cybersäkerhetsexpert med erfarenhet av seniora roller på Google, Stripe och försvarsdepartementet. Hans avslöjande av whistleblower rapporterades först av CNN och The Washington Post på tisdagen.
Följer en 2011 FTC-sekretessuppgörelse
I sitt avslöjande till den amerikanska regeringen hävdar Zatko att Twitter lider av "stora brister" i sin cybersäkerhetsställning, medvetet vilseledda tillsynsmyndigheter om dess hantering av användardata och att företaget inte lever upp till sina skyldigheter enligt en 2011 års integritetsuppgörelse med Federal Trade Commission — en juridiskt bindande order som bland annat kräver skapandet av "rimliga skyddsåtgärder" för att skydda användarnas personliga information. FTC avböjde att kommentera avslöjandet.
Zatkos fördömande avslöjande hävdar att ungefär hälften av Twitter-anställda, inklusive alla dess ingenjörer, har överdriven intern åtkomst till företagets liveprodukt, känd inom företaget som "produktion", tillsammans med faktiska användardata. Det hävdas också att företaget saknar förmågan att försvara sig mot insiderhot, utländska regeringar och oavsiktliga dataläckor.
"En grundläggande ingenjörs- och säkerhetsprincip är att tillgången till levande produktionsmiljöer ska begränsas så mycket som möjligt", står det i avslöjandet. "Men på Twitter byggde, testade och utvecklade ingenjörer ny mjukvara direkt i produktion med tillgång till live kunddata och annan känslig information i Twitters system."
Twitter-whistleblower hävdar hänsynslös och försumlig cybersäkerhetspolicy
Twitter har berättat för CNN att dess FTC-efterlevnadsrekord talar för sig själv, med hänvisning till tredjepartsrevisioner som lämnats in till byrån under 2011 års samtycke. Twitter tillade att det följer relevanta integritetsbestämmelser och att det har varit öppet med tillsynsmyndigheter om sina ansträngningar att åtgärda eventuella brister i sina system. Zatko deltog inte i revisionsarbetet och förstod inte fullt ut Twitters FTC-skyldigheter eller hur företaget fullföljde dem, sa Twitter.
Avslöjandet hävdar att Zatkos personal var "intimt bekanta" med Twitters problem inför FTC och att det var de som sa till Zatko att Twitter aldrig var i enlighet med 2011 års order, och inte heller på väg att bli kompatibel.
"Vi står absolut vid innehållet i Mudges avslöjande," sa John Tye, Zatkos advokat och grundare av Whistleblower Aid, organisationen som representerar honom, till CNN.
Zatko kan vara berättigad till en monetär utmärkelse från den amerikanska regeringen som ett resultat av hans whistleblower-aktiviteter. "Original, aktuell och trovärdig information som leder till en framgångsrik verkställighetsåtgärd" av SEC kan tjäna whistleblowers med upp till 30 % nedskärning av byråböter relaterade till åtgärden om straffen uppgår till mer än $1 miljon, har SEC sagt. SEC har delat ut mer än 1 miljard dollar till mer än 270 whistleblowers sedan 2012.
Zatko lämnade in sitt avslöjande till SEC "för att hjälpa byrån att upprätthålla lagarna" och för att få federalt skydd för whistleblower, sa Tye. "Utsikten till en belöning var inte en faktor i Mudges beslut, och i själva verket visste han inte ens om belöningsprogrammet när han bestämde sig för att bli en laglig whistleblower."
Avslöjandet av whistleblower kommer månader efter FTC framfört sina egna anklagelser att Twitter missbrukade kontosäkerhetsinformation i reklamsyfte i strid med 2011 års order. Twitter gick med på att betala 150 miljoner dollar i maj för att lösa dessa anspråk, i en andra FTC-uppgörelse.
Nu väcker Zatkos avslöjande möjligheten till ännu ett möjligt brott mot Twitters FTC-åtaganden – en utomordentligt farlig position för ett företag och dess chefer att vara i, enligt Jon Leibowitz, som var ordförande för FTC vid tiden för Twitters uppgörelse 2011.
"Om fakta är sanna, skulle de utgöra brott mot ordningen och mot FTC-lagen - och det skulle göra Twitter till en trefaldig förlorare", sa Leibowitz till CNN i en intervju. "Det skulle inte finnas någon anledning för FTC att inte kasta boken på dem." Naturligtvis, tillade Leibowitz, skulle FTC behöva genomföra en grundlig utredning först för att själv avgöra om en ny kränkning har inträffat.
Sen. Richard Blumenthal, ordförande för senatens underkommitté för konsumentskydd och en före detta åklagare i Connecticut, sa i ett uttalande på tisdagen att Zatkos avslöjanden "avslöjar att ansvaret för Twitters säkerhetsmisslyckanden vilar på de överst."
Han uppmanade vidare FTC i ett brev att undersöka anklagelserna, och sa att tjänstemän borde böta och hålla Twitter-chefer personligen ansvariga om det visar sig att de var ansvariga för brott mot FTC-lagen eller Twitters samtyckesorder. FTC:s egen trovärdighet står på spel, sa Blumenthal i brevet, som också skickades till FTC på tisdagen.
"Om kommissionen inte kraftfullt övervakar och verkställer sina order kommer de inte att tas på allvar och dessa farliga överträdelser kommer att fortsätta", skrev Blumenthal.
"Saker och ting blev faktiskt betydligt värre"
Enligt sin stadga är FTC behörig att åtala "orättvisa eller vilseledande affärshandlingar och praxis." I internetåldern har det i allt högre grad inneburit att gå efter företag som hävdar att de skyddar konsumenternas digitala information men som i själva verket misslyckas med att leva upp till sina offentliga påståenden eller förvränga dessa skydd.
Twitters ursprungliga uppgörelse 2011 uppstod från två påstådda incidenter där hackare kunde kompromissa med svaga anställdas lösenord och missbruka deras åtkomst för att ta över Twitter-konton och snoka in privat information, trots Twitters offentliga uttalanden om att skydda användarnas integritet och säkerhet.
Twitters uppgörelse var inte ett erkännande av fel. Men det Obligatorisk Twitter för att skapa "ett omfattande informationssäkerhetsprogram som är rimligt utformat för att skydda säkerheten, integriteten, konfidentialitet och integritet för icke-offentlig konsumentinformation" - ett åtagande som Zatko hävdar aldrig har uppfyllts.
Som en del av sin senaste FTC-uppgörelse i år åtog sig Twitter till ännu mer detaljerade cybersäkerhetsskyldigheter, inklusive att ha "åtkomstpolicyer och kontroller" för alla databaser som innehåller användardata, såväl som för system som antingen ger anställda tillgång till Twitter-konton eller som har information som "möjliggör eller underlättar" åtkomst till interna Twitter-system. Dessa skyldigheter är redan i kraft efter en domares undertecknande av ordern i våras, vilket ytterligare ökar den potentiella juridiska exponeringen för Twitter.
Trots Twitters ökande regulatoriska krav, hävdar Zatko att inte mycket har förändrats på företaget sedan FTC:s första klagomål för mer än ett decennium sedan.
"Saker och ting blev faktiskt betydligt värre", hävdar hans avslöjande till kongressen. Avslöjandet hävdar att även när Twitter aktivt förhandlade om den andra uppgörelsen med FTC förra året, tillät företaget, i en helt separat incident, samma typ av missbruk av data för reklamändamål att upprepas.
Som svar på mer än 50 specifika frågor från CNN relaterade till avslöjandet tog Twitter inte upp Zatkos anklagelse kring den händelsen. Den erkände att dess ingenjörs- och produktteam har tillgång till Twitters liveproduktionsmiljö förutsatt att de har en specifik affärsmotivering, och tillade att medlemmar av andra avdelningar - såsom ekonomi, juridik, marknadsföring, försäljning, mänskliga resurser och support - inte kan. Twitter berättade också för CNN att anställdas datorer automatiskt kontrolleras för att avgöra om de är uppdaterade, och de som misslyckas med kontrollerna kan inte ansluta till produktionen.
Potential för ny bosättning eller färg
Insatserna av avslöjandet kan vara enormt betydande. Ett FTC konstaterande att Twitter har brutit mot sin order en tredje gång kan resultera i de hårdaste straff som byrån någonsin har ålagt företaget. FTC leds också för närvarande av Lina Khan, a vokal skeptiker till tekniska plattformar och vad hon kallar en "kommersiell övervakningsindustri" som tjänar på slappa nationella integritetsregler. Under Khan överväger FTC att utarbeta genomgripande nya integritetsbestämmelser som direkt kan påverka företag över hela ekonomin, inklusive Twitter, och hur de samlar in, använder och delar personlig information.
Skulle FTC komma fram till att en överträdelse inträffade, skulle den ha två huvudalternativ för att hålla Twitter ansvarig, säger tidigare byråtjänstemän. Det kan söka en tredje uppgörelse med företaget, eller så kan det stämma Twitter över befintliga samtyckesbeslut och be en domstol om lämpliga påföljder.
I fallet med en uppgörelse kan FTC till och med försöka namnge enskilda chefer - hålla dem personligen ansvariga och tvinga dem att acceptera skyldigheter på sitt eget beteende som de kan hållas ansvariga för om de eller företaget bryter mot ordern igen.
Om det visar sig att Twitter bröt mot sina juridiska skyldigheter, sa Leibowitz, borde FTC "mycket allvarligt överväga ... att sätta de ansvariga cheferna under ordning."
Blotta hotet om att namnge enskilda chefer kan vara effektivt, tillade han. Under sin tid som FTC-ordförande erinrade Leibowitz: "Jag kan inte berätta hur många VD:ar som kom in på mitt kontor och sa: 'Snälla, nämn mig inte. Jag vill bara inte bli namngiven. Jag har inget emot om jag betalar mer pengar; Jag har inget emot om mitt företag får en starkare ordning. Men jag vill bara inte bli namngiven.'”
Megan Gray, en före detta FTC verkställighetsadvokat som har arbetat med några av myndighetens största integritetsärenden, sa att verktygen till FTC:s förfogande är många. (CNN talade med Gray innan Zatkos anklagelser blev offentliga och utan att avslöja deras existens, och sedan igen på tisdagen efter att CNN och The Washington Post rapporterade Zatkos avslöjande.)
"Eskalerande böter, fler efterlevnadsrapporter, mer detaljerade kontroller och restriktioner för deras branscher," sa Gray och bockade av en lista med alternativ. "Eller ett krav på att få annonser förhandsgodkända av byrån, eller utesluta dem från vissa typer av transaktioner."
En byrå i behov av fler verktyg för att hålla företag ansvariga
Twitter har citerat sina granskningar från tredje part som bevis på att de har upprätthållit sina FTC-åtaganden. Men generellt sett kan sättet som FTC:s revisionskrav ofta fungerar i praktiken släppa företagen alldeles för lätt, sa Gray.
Till exempel är många FTC-ordrar skrivna tillräckligt brett för att göra det möjligt för ett företag att uppfylla sina skyldigheter baserat på bland annat "intyg" om att de är kompatibla - ett pinkigt löfte, sa Gray till CNN. I rapporter till FTC kan företag som utför tredjepartsrevisioner helt enkelt säga, eller citera uttalanden från företaget som granskas, att företaget följer reglerna.
Från 2011 till 2022 tillät Twitters samtyckesorder med FTC revisionsrapporter baserade på intyg. Sedan, i sin andra uppgörelse i år, gjorde FTC revisionskraven mer specifika, vilket hindrade Twitters tredjepartsrevisorer från att förlita sig "i första hand" på intyg från Twitters ledning.
Även med dessa typer av begränsningar finns det fortfarande skäl att vara skeptisk till FTC-revisionsrapporter, sa Gray. Det beror på att tredjepartsrevisorer inte betalas av FTC, utan av de företag som granskas, sa hon.
"Så incitamenten är helt uteslutna för revisionsföretagen," tillade Gray.
Twitter berättade för CNN att revisioner bara är ett av de integritets- och säkerhetsprogram som Twitter måste uppfylla sina FTC-skyldigheter.
Många nuvarande och tidigare FTC-tjänstemän, såväl som amerikanska lagstiftare och konsumentförespråkare, har drivit på att ge FTC fler verktyg för att hålla företag ansvariga, särskilt efter Högsta domstolen förra året slog ned myndighetens förmåga att söka monetär lättnad under vissa omständigheter.
Vissa förespråkare för hårdare tillsyn har efterlyst, till exempel att låta FTC utfärda böter till företag för förstagångsöverträdelser av FTC-lagen. För närvarande kan FTC i allmänhet endast försöka ålägga ett företag civilrättsliga påföljder efter att den har brutit mot en tidigare förlikning.
När det gäller Twitter kan det verka konstigt att förhandla fram en samtyckesbeställning för en tredje gång, sa en annan före detta FTC-tjänsteman, som talade på villkor av anonymitet för att tala mer ärligt. Men i händelse av att den hittar en överträdelse, och som i alla fall, kommer FTC att behöva väga vad den tror att den kan få från Twitter genom en uppgörelse mot vad byrån kan vinna från en rättegångsdomstol.
Det finns risker med långa, utdragna rättstvister, där en domstol faktiskt kan tilldela FTC mindre, sa den tidigare tjänstemannen.
"Vissa människor tror att dessa order är typ ingenting," sa den tidigare tjänstemannen, "men det är de inte. Kanske är de det i vissa fall, och företagen tar dem inte på allvar. Men i många fall gör de det, och FTC kan kräva mycket smärta. Mycket smärta."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., ett Warner Bros. Discovery Company. Alla rättigheter förbehållna.
