Hukuk uzmanlarına ve eski federal yetkililere göre, Twitter'ın eski güvenlik şefi tarafından bu hafta yapılan patlayıcı bir ihbar, şirketi yeni federal soruşturmalara ve potansiyel olarak milyarlarca dolar para cezasına, daha sıkı düzenleyici yükümlülüklere veya ABD hükümetinin diğer cezalarına maruz bırakıyor.
Twitter, Peiter "Mudge" Zatko'nun ihbarcı tarafından ifşa edilmesinden kaynaklanan çok büyük yasal risklerle karşı karşıya. yaklaşık 200 sayfalık açıklama yetkililere, şirketin bilgi güvenliği kusurlarıyla dolu olduğunu ve bazı durumlarda yöneticilerinin, doğrudan dolandırıcılık yapmasalar bile, şirketin durumu konusunda kendi yönetim kurulunu ve kamuoyunu yanılttığını söyledi.
Twitter, Kasım 2020'den Ocak ayında kovulana kadar şirkette çalışan Zatko'yu, Twitter'ın kötü performans olarak nitelendirdiği şekilde "Twitter ve gizlilik ve veri güvenliği uygulamalarımız hakkında tutarsızlıklar ve yanlışlıklarla dolu yanlış bir anlatı yaymakla" suçladı. önemli bir bağlamdan yoksundur.” Zatko, Google, Stripe ve Savunma Bakanlığı'nda üst düzey görevlerde deneyimi olan, son derece saygın bir siber güvenlik uzmanıdır. Onun ihbarcı açıklaması ilk olarak Salı günü CNN ve The Washington Post tarafından bildirildi.
2011 FTC gizlilik anlaşmasına uymak
ABD hükümetine yaptığı açıklamada Zatko, Twitter'ın siber güvenlik duruşunda "ciddi eksiklikler" yaşadığını, kullanıcı verilerinin işlenmesi konusunda düzenleyicileri kasıtlı olarak yanılttığını ve şirketin bir yasa kapsamındaki yükümlülüklerini yerine getirmediğini iddia etti. 2011 gizlilik anlaşması Federal Ticaret Komisyonu ile - diğer hususların yanı sıra, kullanıcıların kişisel bilgilerini korumak için "makul güvenlik önlemlerinin" oluşturulmasını gerektiren yasal olarak bağlayıcı bir emir. FTC, açıklama hakkında yorum yapmaktan kaçındı.
Zatko'nun lanetleyici açıklaması, tüm mühendisleri de dahil olmak üzere Twitter çalışanlarının kabaca yarısının, şirket içinde "üretim" olarak bilinen şirketin canlı ürününe ve gerçek kullanıcı verilerine aşırı dahili erişime sahip olduğunu iddia ediyor. Ayrıca şirketin içeriden gelen tehditlere, yabancı hükümetlere ve kazara veri sızıntılarına karşı savunma yeteneğinden yoksun olduğu da iddia ediliyor.
Açıklamada, "Temel mühendislik ve güvenlik ilkesi, canlı prodüksiyon ortamlarına erişimin mümkün olduğu kadar sınırlandırılması gerektiğidir" deniyor. "Fakat Twitter'da mühendisler, Twitter sistemindeki canlı müşteri verilerine ve diğer hassas bilgilere erişim sağlayan yeni yazılımları doğrudan üretimde oluşturdu, test etti ve geliştirdi."
Twitter ihbarcısı, siber güvenlik politikalarının dikkatsiz ve ihmalkar olduğunu iddia ediyor
Twitter, 2011 onay emri kapsamında ajansa sunulan üçüncü taraf denetimlerine atıfta bulunarak, CNN'e FTC uyumluluk kaydının kendi adına konuştuğunu söyledi. Twitter, ilgili gizlilik düzenlemelerine uyduğunu ve sistemlerindeki eksiklikleri düzeltme çabaları konusunda düzenleyicilere karşı şeffaf olduğunu ekledi. Twitter, Zatko'nun denetim çalışmasına katılmadığını ve Twitter'ın FTC yükümlülüklerini veya şirketin bunları nasıl yerine getirdiğini tam olarak anlamadığını söyledi.
Açıklamada, Zatko personelinin Twitter'ın FTC nezdindeki sorunlarına "yakından aşina" olduğu ve Zatko'ya Twitter'ın 2011 emrine hiçbir zaman uymadığını veya uyma yolunda olmadığını söyleyenlerin de kendileri olduğu iddia ediliyor.
Zatko'nun avukatı ve kendisini temsil eden Whistleblower Aid'in kurucusu John Tye, CNN'e "Mudge'ın açıklamasının içeriğinin kesinlikle arkasındayız" dedi.
Zatko, ihbar faaliyetleri nedeniyle ABD hükümetinden para ödülü almaya hak kazanabilir. SEC, SEC tarafından verilen "başarılı bir yaptırım eylemine yol açan orijinal, zamanında ve güvenilir bilgilerin", cezaların 30 milyon dolardan fazla olması durumunda ihbarcılara eylemle ilgili kurum para cezalarında %1'a varan kesintiler kazandırabileceğini söyledi. SEC, 1'den bu yana 270'den fazla ihbarcıya 2012 milyar dolardan fazla ödül verdi.
Tye, Zatko'nun açıklamasını "kurumun yasaları uygulamasına yardımcı olmak" ve federal ihbarcı korumasını kazanmak için SEC'e sunduğunu söyledi. "Ödül beklentisi Mudge'ın kararında bir etken değildi ve aslında yasal bir ihbarcı olmaya karar verdiğinde ödül programından haberi bile yoktu."
İhbar açıklaması FTC'den aylar sonra geldi kendi iddialarını dile getirdi Twitter'ın 2011 kararını ihlal edecek şekilde hesap güvenlik bilgilerini reklam amacıyla kötüye kullandığı. heyecan 150 milyon dolar ödemeyi kabul etti Mayıs ayında bu iddiaları ikinci bir FTC anlaşmasında çözmek için.
Şimdi, Zatko'nun açıklaması, Twitter'ın FTC taahhütlerinin bir başka olası ihlali olasılığını artırıyor; Twitter'ın 2011 anlaşması sırasında FTC'nin başkanı olan Jon Leibowitz'e göre, bir şirket ve yöneticilerinin içinde bulunması olağanüstü derecede tehlikeli bir durum.
Leibowitz CNN'e verdiği bir röportajda, "Gerçekler doğruysa, bunlar emrin ve FTC Yasasının ihlali anlamına gelir ve bu da Twitter'ı üç kez kaybeden yapar" dedi. "FTC'nin kitabı onlara atmaması için hiçbir neden olmayacak." Leibowitz, elbette, FTC'nin yeni bir ihlalin meydana gelip gelmediğini belirlemek için öncelikle kapsamlı bir soruşturma yürütmesi gerektiğini de sözlerine ekledi.
Senato'nun tüketiciyi koruma alt komitesi başkanı ve eski Connecticut başsavcısı Senatör Richard Blumenthal, Salı günü yaptığı açıklamada, Zatko'nun açıklamalarının "Twitter'ın güvenlik başarısızlıklarının sorumluluğunun tepedekilere ait olduğunu ortaya çıkardığını" söyledi.
Ayrıca bir mektupta FTC'yi iddiaları araştırmaya çağırdı ve yetkililerin, FTC Yasası veya Twitter'ın izin emrinin ihlallerinden sorumlu oldukları tespit edilirse Twitter yöneticilerini cezalandırması ve kişisel olarak sorumlu tutması gerektiğini söyledi. Salı günü FTC'ye gönderilen mektupta Blumenthal, FTC'nin kendi güvenilirliğinin tehlikede olduğunu söyledi.
Blumenthal, "Komisyon, emirlerini etkin bir şekilde denetlemez ve uygulamazsa, bunlar ciddiye alınmayacak ve bu tehlikeli ihlaller devam edecek" diye yazdı.
“İşler aslında anlamlı derecede kötüleşti”
Tüzüğü uyarınca FTC, "haksız veya aldatıcı ticari eylem ve uygulamaları" kovuşturmaya yetkilidir. İnternet çağında bu, tüketicilerin dijital bilgilerini koruduğunu iddia eden ancak aslında kamuya açık iddialarını yerine getirmeyen veya bu korumaları yanlış sunan şirketlerin peşine düşmek anlamına geliyor.
Twitter'ın orijinal 2011 anlaşması şu şekilde ortaya çıktı: iddia edilen iki olay Twitter'ın kullanıcı mahremiyetini ve güvenliğini korumaya yönelik kamuya açık açıklamalarına rağmen, bilgisayar korsanları çalışanların zayıf şifrelerini ele geçirebildiler ve Twitter hesaplarını ele geçirmek ve özel bilgileri gözetlemek için erişimlerini kötüye kullanabildiler.
Twitter'ın anlaşması bir yanlışın kabulü değildi. Ama o gereklidir Twitter, "kamuya açık olmayan tüketici bilgilerinin güvenliğini, mahremiyetini, mahremiyetini ve bütünlüğünü korumak için makul şekilde tasarlanmış kapsamlı bir bilgi güvenliği programı" oluşturacak; bu, Zatko'nun hiçbir zaman yerine getirilmediğini iddia ettiği bir taahhüt.
Bu yılki en son FTC anlaşmasının bir parçası olarak Twitter, kullanıcı verilerini içeren tüm veritabanlarının yanı sıra çalışanların Twitter hesaplarına erişmesine izin veren veya bilgi içeren sistemler için "erişim politikaları ve kontrollerine" sahip olmak da dahil olmak üzere daha ayrıntılı siber güvenlik yükümlülüklerini taahhüt etti. dahili Twitter sistemlerine erişimi “etkinleştiren veya kolaylaştıran”. Bu yükümlülükler, hakimin bu baharda kararı imzalamasının ardından halihazırda yürürlüğe girdi ve Twitter'ın potansiyel yasal maruziyetini daha da artırdı.
Twitter'ın artan düzenleyici gerekliliklerine rağmen Zatko, FTC'nin on yıldan fazla bir süre önce yaptığı ilk şikayetten bu yana şirkette pek bir şeyin değişmediğini iddia ediyor.
Kongre'ye yaptığı açıklamada, "İşler aslında anlamlı derecede kötüleşti" iddiasında bulunuyor. Açıklamada, Twitter'ın geçen yıl FTC ile aktif olarak ikinci anlaşmayı müzakere ederken bile şirketin tamamen ayrı bir olayda, reklam amaçlı olarak aynı türden verilerin kötüye kullanılmasına izin verdiği iddia ediliyor.
Açıklamayla ilgili olarak CNN'den gelen 50'den fazla özel soruya yanıt olarak Twitter, Zatko'nun bu olayla ilgili iddialarına yanıt vermedi. Mühendislik ve ürün ekiplerinin, belirli bir ticari gerekçeye sahip olmaları koşuluyla Twitter'ın canlı prodüksiyon ortamına erişebileceğini kabul etti ve finans, hukuk, pazarlama, satış, insan kaynakları ve destek gibi diğer departmanların üyelerinin erişemeyeceğini ekledi. Twitter ayrıca CNN'e, çalışan bilgisayarlarının güncel olup olmadıklarının belirlenmesi için otomatik olarak kontrol edildiğini ve kontrolleri geçemeyen bilgisayarların üretime bağlanamayacağını söyledi.
Yeni yerleşim veya dava potansiyeli
Açıklamanın getireceği riskler son derece önemli olabilir. FTC'nin Twitter'ın emrini üçüncü kez ihlal ettiğini tespit etmesi, ajansın şirkete şimdiye kadar uyguladığı en sert cezalarla sonuçlanabilir. FTC'nin başkanlığını şu anda Lina Khan yürütmektedir. teknoloji platformlarına şüpheyle yaklaşanlar ve gevşek ulusal gizlilik kurallarından kazanç sağlayan "ticari gözetim" endüstrisi olarak adlandırdığı şeyden. Khan yönetiminde FTC taslak hazırlamayı düşünüyor kapsamlı yeni gizlilik düzenlemeleri Bu, Twitter da dahil olmak üzere ekonomideki şirketleri ve kişisel verileri nasıl topladıklarını, kullandıklarını ve paylaştıklarını doğrudan etkileyebilir.
Eski kurum yetkilileri, FTC'nin bir ihlalin meydana geldiği sonucuna varması durumunda Twitter'ı sorumlu tutmak için iki ana seçeneğe sahip olacağını söylüyor. Şirketle üçüncü bir anlaşma yoluna gidebilir veya Twitter'a mevcut rıza kararları nedeniyle dava açarak mahkemeden uygun cezalar talep edebilir.
Anlaşma durumunda FTC, bireysel yöneticilerin isimlerini bile belirlemeye çalışabilir; onları kişisel olarak sorumlu tutabilir ve kendilerinin veya şirketin emri tekrar ihlal etmesi durumunda sorumlu tutulabilecekleri kendi davranışlarına ilişkin yükümlülükleri kabul etmeye zorlayabilir.
Leibowitz, Twitter'ın yasal yükümlülüklerini ihlal ettiği ortaya çıkarsa, FTC'nin "sorumlu yöneticileri emir altına almayı çok ciddi şekilde düşünmesi gerektiğini" söyledi.
Yetkili, tek tek yöneticilerin isimlendirilmesi tehdidinin bile etkili olabileceğini ekledi. Leibowitz, FTC başkanı olduğu süre boyunca şunları hatırladı: “Ofisime kaç CEO'nun 'Lütfen ismimi vermeyin' diyerek geldiğini size anlatamam. Sadece ismimin anılmasını istemiyorum. Daha fazla para ödesem umurumda değil; Şirketimin daha güçlü bir düzen altına alınması umurumda değil. Ama ismimin açıklanmasını istemiyorum."
Ajansın en büyük gizlilik davalarından bazılarında çalışmış olan eski bir FTC icra avukatı olan Megan Gray, FTC'nin elindeki araçların çok sayıda olduğunu söyledi. (CNN, Zatko'nun iddiaları kamuya açıklanmadan önce ve bunların varlığını açıklamadan önce Gray ile konuştu ve ardından Salı günü CNN ve The Washington Post, Zatko'nun ifşasını bildirdikten sonra tekrar konuştu.)
Gray, seçenekler listesini işaretleyerek, "Artan cezalar, daha fazla uyum raporu, daha ayrıntılı kontroller ve iş kollarında kısıtlamalar" dedi. "Ya da reklamların ajans tarafından önceden onaylanması veya belirli işlem türlerinin dışında tutulması zorunluluğu."
Şirketleri sorumlu tutmak için daha fazla araca ihtiyaç duyan bir kurum
Twitter, üçüncü taraf denetimlerini FTC taahhütlerini yerine getirdiğinin kanıtı olarak gösterdi. Ancak genel olarak FTC'nin denetim gerekliliklerinin pratikteki çalışma biçimi şirketlerin bu durumdan çok kolay kurtulmasına neden olabiliyor, dedi Gray.
Örneğin, Gray CNN'e verdiği demeçte, birçok FTC emrinin, bir şirketin diğer şeylerin yanı sıra, uyumlu olduklarına dair "onaylara" dayanarak yükümlülüklerini yerine getirmesine olanak tanıyacak kadar geniş bir şekilde yazıldığını söyledi. Üçüncü taraf denetimleri yürüten şirketler, FTC'ye verdikleri raporlarda şirketin kurallara uygun olduğunu basitçe söyleyebilir veya denetlenen şirketin beyanlarından alıntı yapabilir.
2011'den 2022'ye kadar Twitter'ın FTC ile olan izin emri, onaylara dayalı denetim raporlarına izin verdi. Ardından, bu yılki ikinci anlaşmasında FTC, Twitter'ın üçüncü taraf denetçilerinin "öncelikle" Twitter yönetiminin beyanlarına güvenmesini yasaklayarak denetim gerekliliklerini daha spesifik hale getirdi.
Gray, bu tür kısıtlamalara rağmen hala FTC denetim raporlarına şüpheyle yaklaşmak için nedenler bulunduğunu söyledi. Bunun nedeni, üçüncü taraf denetçilere FTC tarafından değil, denetlenen şirketler tarafından ödeme yapılmasıdır, dedi.
Gray, "Dolayısıyla denetim şirketleri için teşvikler tamamen geçersiz" diye ekledi.
Twitter, CNN'e denetimlerin, Twitter'ın FTC yükümlülüklerini yerine getirmesi gereken gizlilik ve güvenlik programlarından yalnızca biri olduğunu söyledi.
Pek çok mevcut ve eski FTC yetkilisinin yanı sıra ABD yasa koyucuları ve tüketici savunucuları, özellikle geçen yıl Yüksek Mahkeme'nin ardından FTC'ye işletmeleri sorumlu tutmak için daha fazla araç verilmesi yönünde baskı yaptı. aşağı vurdu Ajansın bazı koşullar altında parasal yardım isteme yeteneği.
Daha sıkı gözetimin bazı savunucuları aradık, örneğin FTC'nin FTC Yasası'nı ilk kez ihlal eden şirketlere para cezası vermesine izin vermek. Şu anda, FTC genel olarak yalnızca bir şirkete para cezası vermeyi amaçlıyor Daha önceki bir anlaşmayı ihlal ettikten sonra.
Başka bir eski FTC yetkilisi, daha samimi konuşmak için isminin gizli kalması koşuluyla konuşan Twitter söz konusu olduğunda, üçüncü kez bir onay emri üzerinde pazarlık yapılmasının tuhaf bir görünüm gibi görünebileceğini söyledi. Ancak bir ihlal tespit edilmesi durumunda ve her davada olduğu gibi FTC'nin, bir uzlaşma yoluyla Twitter'dan elde edebileceğine inandığı şeylerle, ajansın bir mahkemeden kazanabileceği şeyler arasında karşılaştırma yapması gerekecek.
Eski yetkili, mahkemenin aslında FTC'ye daha az karar verebileceği uzun ve uzayan dava risklerinin bulunduğunu söyledi.
Eski yetkili, "Bazı insanlar bu emirlerin bir hiç olduğunu düşünüyor" dedi, "ama değil. Belki bazı durumlarda öyledir ve şirketler bunları ciddiye almaz. Ancak çoğu durumda bunu yapıyorlar ve FTC çok fazla acıya neden olabilir. Çok fazla acı."
The-CNN-Wire™ & © 2022 Cable News Network, Inc., bir Warner Bros. Discovery Şirketi. Tüm hakları Saklıdır.
