Theo các chuyên gia pháp lý và cựu quan chức liên bang, một tiết lộ tố giác bùng nổ của cựu giám đốc an ninh của Twitter tuần này khiến công ty phải đối mặt với các cuộc điều tra liên bang mới và có khả năng hàng tỷ đô la tiền phạt, các nghĩa vụ quy định khắt khe hơn hoặc các hình phạt khác từ chính phủ Hoa Kỳ, theo các chuyên gia pháp lý và cựu quan chức liên bang.
Twitter phải đối mặt với những rủi ro pháp lý to lớn bắt nguồn từ tiết lộ của người tố giác bởi Peiter “Mudge” Zatko, người tuyên bố trong một tiết lộ gần 200 trang với các cơ quan chức năng rằng công ty có nhiều lỗ hổng bảo mật thông tin - và trong một số trường hợp, các nhà điều hành của công ty đã đánh lừa chính hội đồng quản trị và công chúng về tình trạng của công ty, nếu không muốn nói là hoàn toàn lừa đảo.
Twitter đã cáo buộc Zatko, người đã làm việc tại công ty từ tháng 2020 năm XNUMX cho đến khi anh ta bị sa thải vào tháng Giêng này vì những gì Twitter cho là hiệu suất kém, đã đưa ra “một câu chuyện sai sự thật về Twitter và các hoạt động bảo mật dữ liệu và quyền riêng tư của chúng tôi có nhiều mâu thuẫn và không chính xác và thiếu bối cảnh quan trọng ”. Zatko là một chuyên gia an ninh mạng được đánh giá cao với kinh nghiệm trong các vai trò cấp cao tại Google, Stripe và Bộ Quốc phòng. Tiết lộ của người tố giác ông được CNN và The Washington Post đưa tin lần đầu tiên vào thứ Ba.
Tuân thủ thỏa thuận về quyền riêng tư của FTC năm 2011
Trong tiết lộ của mình với chính phủ Hoa Kỳ, Zatko tuyên bố Twitter bị "thiếu sót nghiêm trọng" trong quan điểm an ninh mạng, cố tình đánh lừa các nhà quản lý về việc xử lý dữ liệu người dùng và công ty không tuân thủ các nghĩa vụ của mình theo Giải quyết quyền riêng tư năm 2011 với Ủy ban Thương mại Liên bang - một lệnh ràng buộc pháp lý yêu cầu, trong số những thứ khác, việc tạo ra "các biện pháp bảo vệ hợp lý" để bảo vệ thông tin cá nhân của người dùng. FTC từ chối bình luận về tiết lộ.
Tiết lộ đáng nguyền rủa của Zatko cáo buộc rằng khoảng một nửa số nhân viên Twitter, bao gồm tất cả các kỹ sư của nó, có quyền truy cập nội bộ quá mức vào sản phẩm trực tiếp của công ty, được gọi trong công ty là “sản xuất”, cùng với dữ liệu người dùng thực tế. Nó cũng cáo buộc công ty thiếu khả năng bảo vệ trước các mối đe dọa từ nội bộ, chính phủ nước ngoài và rò rỉ dữ liệu ngẫu nhiên.
“Một nguyên tắc cơ bản về kỹ thuật và bảo mật là việc tiếp cận với môi trường sản xuất trực tiếp nên được hạn chế càng nhiều càng tốt,” tiết lộ cho biết. “Nhưng tại Twitter, các kỹ sư đã xây dựng, thử nghiệm và phát triển phần mềm mới trực tiếp trong quá trình sản xuất với quyền truy cập vào dữ liệu khách hàng trực tiếp và các thông tin nhạy cảm khác trong hệ thống của Twitter.”
Người tố cáo Twitter cáo buộc chính sách an ninh mạng thiếu thận trọng và cẩu thả
Twitter đã nói với CNN rằng hồ sơ tuân thủ FTC của họ nói lên chính nó, trích dẫn các cuộc kiểm toán của bên thứ ba được nộp cho cơ quan này theo lệnh chấp thuận năm 2011. Twitter cho biết thêm rằng nó tuân thủ các quy định về quyền riêng tư có liên quan và nó đã minh bạch với các nhà quản lý về những nỗ lực của mình để sửa chữa bất kỳ thiếu sót nào trong hệ thống của mình. Zatko đã không tham gia vào công việc kiểm toán và không hiểu đầy đủ các nghĩa vụ FTC của Twitter hoặc cách công ty thực hiện chúng, Twitter cho biết.
Tiết lộ tuyên bố nhân viên của Zatko đã "quen thuộc sâu sắc" với các vấn đề của Twitter trước FTC và chính họ là người đã nói với Zatko rằng Twitter không bao giờ tuân thủ lệnh năm 2011, cũng như không tuân thủ đúng hướng.
“Chúng tôi hoàn toàn đứng về nội dung tiết lộ của Mudge,” John Tye, luật sư của Zatko và là người sáng lập Whistleblower Aid, tổ chức đại diện cho anh ta, nói với CNN.
Zatko có thể đủ điều kiện nhận giải thưởng tiền tệ từ chính phủ Hoa Kỳ do kết quả của các hoạt động tố giác của mình. "Thông tin gốc, kịp thời và đáng tin cậy dẫn đến một hành động thực thi thành công" của SEC có thể giúp người tố cáo cắt giảm tới 30% tiền phạt của cơ quan liên quan đến hành động nếu mức phạt lên đến hơn 1 triệu đô la, SEC cho biết. SEC đã trao hơn 1 tỷ đô la cho hơn 270 người tố cáo kể từ năm 2012.
Zatko đã đệ trình tiết lộ của mình lên SEC “để giúp cơ quan này thực thi luật pháp,” và để có được sự bảo vệ của người tố giác liên bang, Tye nói. “Triển vọng về phần thưởng không phải là một yếu tố trong quyết định của Mudge, và trên thực tế, anh ấy thậm chí còn không biết về chương trình phần thưởng khi anh ấy quyết định trở thành một người tố cáo hợp pháp.”
Tiết lộ của người tố giác được đưa ra vài tháng sau FTC san bằng các cáo buộc của chính nó rằng Twitter đã lạm dụng thông tin bảo mật tài khoản cho mục đích quảng cáo vi phạm lệnh năm 2011. Twitter đồng ý trả 150 triệu đô la vào tháng XNUMX để giải quyết những khiếu nại đó, trong một thỏa thuận FTC thứ hai.
Giờ đây, tiết lộ của Zatko làm tăng khả năng vi phạm một lần nữa các cam kết FTC của Twitter - một vị trí cực kỳ nguy hiểm đối với một công ty và các giám đốc điều hành của nó, theo Jon Leibowitz, người từng là chủ tịch FTC vào thời điểm quyết định năm 2011 của Twitter.
“Nếu sự thật là đúng, chúng sẽ cấu thành vi phạm lệnh và Đạo luật FTC - và điều đó sẽ khiến Twitter trở thành kẻ thua cuộc ba lần,” Leibowitz nói với CNN trong một cuộc phỏng vấn. "Sẽ không có lý do gì để FTC không ném cuốn sách vào họ." Tất nhiên, Leibowitz nói thêm, FTC sẽ cần phải tiến hành một cuộc điều tra kỹ lưỡng trước tiên để tự xác định xem liệu có vi phạm mới xảy ra hay không.
Thượng nghị sĩ Richard Blumenthal, chủ tịch tiểu ban Thượng viện về bảo vệ người tiêu dùng và là cựu tổng chưởng lý Connecticut, cho biết trong một tuyên bố hôm thứ Ba rằng những tiết lộ của Zatko “tiết lộ rằng trách nhiệm đối với các lỗi bảo mật của Twitter thuộc về những người ở cấp cao nhất”.
Ông tiếp tục thúc giục FTC trong một lá thư điều tra các cáo buộc, nói rằng các quan chức nên phạt tiền và buộc các giám đốc điều hành Twitter phải chịu trách nhiệm cá nhân nếu phát hiện họ phải chịu trách nhiệm về các vi phạm Đạo luật FTC hoặc lệnh chấp thuận của Twitter. Blumenthal cho biết trong bức thư cũng được gửi tới FTC hôm thứ Ba, sự tín nhiệm của chính FTC vẫn đang ở trên đường dây.
“Nếu Ủy ban không giám sát mạnh mẽ và thực thi các lệnh của mình, chúng sẽ không được coi trọng và những vi phạm nguy hiểm này sẽ tiếp tục,” Blumenthal viết.
"Mọi thứ thực sự trở nên tồi tệ hơn một cách có ý nghĩa"
Theo điều lệ của mình, FTC được phép truy tố “các hành vi và thực tiễn kinh doanh không công bằng hoặc lừa đảo”. Trong thời đại internet, điều đó ngày càng có nghĩa là phải theo đuổi các công ty tuyên bố bảo vệ thông tin kỹ thuật số của người tiêu dùng nhưng thực tế lại không tuân theo các tuyên bố công khai của họ hoặc xuyên tạc những biện pháp bảo vệ đó.
Thỏa thuận ban đầu của Twitter năm 2011 phát sinh từ hai sự cố bị cáo buộc nơi tin tặc có thể xâm nhập mật khẩu của nhân viên yếu kém và lạm dụng quyền truy cập của họ để chiếm tài khoản Twitter và đánh cắp thông tin cá nhân, bất chấp tuyên bố công khai của Twitter về việc bảo vệ quyền riêng tư và bảo mật của người dùng.
Sự dàn xếp của Twitter không phải là sự thừa nhận hành vi sai trái. Nhưng nó cần phải Twitter nhằm tạo ra “một chương trình bảo mật thông tin toàn diện được thiết kế hợp lý để bảo vệ an ninh, quyền riêng tư, tính bảo mật và tính toàn vẹn của thông tin người tiêu dùng không công khai” - một cam kết mà Zatko cáo buộc là chưa bao giờ được đáp ứng.
Là một phần của thỏa thuận FTC mới nhất trong năm nay, Twitter cam kết thực hiện các nghĩa vụ an ninh mạng chi tiết hơn bao gồm việc có “các chính sách và kiểm soát truy cập” đối với tất cả các cơ sở dữ liệu có chứa dữ liệu người dùng, cũng như đối với các hệ thống cấp cho nhân viên quyền truy cập vào tài khoản Twitter hoặc có thông tin "cho phép hoặc tạo điều kiện" truy cập vào các hệ thống Twitter nội bộ. Các nghĩa vụ đó đã có hiệu lực sau khi thẩm phán ký lệnh vào mùa xuân này, càng làm tăng khả năng tiếp xúc pháp lý cho Twitter.
Bất chấp các yêu cầu quy định của Twitter, Zatko cáo buộc rằng công ty không có nhiều thay đổi kể từ khiếu nại ban đầu của FTC hơn một thập kỷ trước.
“Mọi thứ thực sự trở nên tồi tệ hơn một cách có ý nghĩa,” tiết lộ của ông trước Quốc hội cáo buộc. Tiết lộ tuyên bố rằng ngay cả khi Twitter đang tích cực đàm phán giải quyết lần thứ hai với FTC vào năm ngoái, công ty, trong một sự cố hoàn toàn riêng biệt, đã cho phép tái diễn kiểu lạm dụng dữ liệu tương tự cho mục đích quảng cáo.
Trả lời hơn 50 câu hỏi cụ thể từ CNN liên quan đến vụ tiết lộ, Twitter đã không đề cập đến cáo buộc của Zatko xung quanh vụ việc đó. Nó đã thừa nhận rằng các nhóm kỹ thuật và sản phẩm của mình có thể truy cập vào môi trường sản xuất trực tiếp của Twitter với điều kiện họ có lý do kinh doanh cụ thể, đồng thời nói thêm rằng các thành viên của các bộ phận khác - chẳng hạn như tài chính, pháp lý, tiếp thị, bán hàng, nhân sự và hỗ trợ - không thể. Twitter cũng nói với CNN rằng máy tính của nhân viên được tự động kiểm tra để xác định xem chúng có cập nhật hay không và những máy tính không đạt yêu cầu sẽ không thể kết nối với sản xuất.
Tiềm năng giải quyết hoặc kiện mới
Cổ phần của việc tiết lộ có thể rất quan trọng. Một phát hiện của FTC rằng Twitter đã vi phạm lệnh của mình lần thứ ba có thể dẫn đến các hình phạt khắc nghiệt nhất mà cơ quan này từng áp dụng đối với công ty. FTC hiện cũng do Lina Khan làm chủ tịch, sự hoài nghi lên tiếng của các nền tảng công nghệ và cái mà cô ấy gọi là ngành “giám sát thương mại” thu lợi từ các quy tắc bảo mật quốc gia lỏng lẻo. Dưới thời Khan, FTC đang xem xét việc soạn thảo quét các quy định mới về quyền riêng tư có thể ảnh hưởng trực tiếp đến các công ty trên toàn nền kinh tế, bao gồm cả Twitter và cách họ thu thập, sử dụng và chia sẻ dữ liệu cá nhân.
Nếu FTC kết luận một vi phạm xảy ra, nó sẽ có hai lựa chọn chính để buộc Twitter phải chịu trách nhiệm, các cựu quan chức cơ quan cho biết. Nó có thể tìm kiếm một thỏa thuận thứ ba với công ty hoặc nó có thể kiện Twitter về các lệnh chấp thuận hiện có và yêu cầu tòa án cho các hình phạt thích hợp.
Trong trường hợp dàn xếp, FTC thậm chí có thể tìm cách nêu tên các giám đốc điều hành cá nhân - quy trách nhiệm cá nhân cho họ và buộc họ phải tự mình chấp nhận các nghĩa vụ mà họ có thể phải chịu trách nhiệm nếu họ hoặc công ty vi phạm lệnh một lần nữa.
Leibowitz cho biết, nếu hóa ra Twitter đã vi phạm các nghĩa vụ pháp lý của mình, FTC nên “rất nghiêm túc xem xét… đặt các giám đốc điều hành chịu trách nhiệm theo lệnh.”
Ông nói thêm rằng chỉ đe dọa nêu tên các cá nhân giám đốc điều hành cũng có thể có hiệu quả. Trong thời gian làm chủ tịch FTC, Leibowitz nhớ lại: “Tôi không thể kể cho bạn biết có bao nhiêu CEO đã đến văn phòng của tôi và nói: 'Xin đừng nêu tên tôi. Tôi chỉ không muốn được nêu tên. Tôi không phiền nếu tôi trả nhiều tiền hơn; Tôi không bận tâm nếu công ty của tôi được đặt dưới một trật tự mạnh mẽ hơn. Nhưng tôi chỉ không muốn được nêu tên.”
Megan Grey, một cựu luật sư thực thi của FTC, người đã từng giải quyết một số vụ việc về quyền riêng tư lớn nhất của cơ quan, cho biết các công cụ mà FTC sử dụng là rất nhiều. (CNN đã nói chuyện với Gray trước khi cáo buộc của Zatko được công khai và không tiết lộ sự tồn tại của họ, và sau đó một lần nữa vào thứ Ba sau khi CNN và The Washington Post báo cáo tiết lộ của Zatko.)
“Tiền phạt leo thang, nhiều báo cáo tuân thủ hơn, các biện pháp kiểm soát và hạn chế chi tiết hơn đối với ngành nghề kinh doanh của họ,” Gray nói, đánh dấu vào danh sách các tùy chọn. “Hoặc yêu cầu nhận được quảng cáo đã được đại lý phê duyệt trước hoặc loại trừ chúng khỏi một số loại giao dịch nhất định.”
Một cơ quan cần nhiều công cụ hơn để giữ các công ty có trách nhiệm
Twitter đã trích dẫn các cuộc kiểm tra của bên thứ ba làm bằng chứng rằng nó đã duy trì các cam kết FTC của mình. Nhưng nói chung, cách thức hoạt động của các yêu cầu kiểm toán của FTC thường hoạt động trong thực tế có thể khiến các công ty thoát khỏi tình trạng quá dễ dàng, Gray nói.
Ví dụ, nhiều lệnh FTC được viết đủ rộng để cho phép một công ty đáp ứng các nghĩa vụ của mình, trong số những thứ khác, "chứng thực" rằng họ tuân thủ - một lời hứa ngón út, Gray nói với CNN. Trong các báo cáo cho FTC, các công ty thực hiện kiểm toán của bên thứ ba có thể chỉ cần nói hoặc trích dẫn các tuyên bố của công ty được kiểm toán rằng công ty tuân thủ.
Từ năm 2011 đến năm 2022, lệnh chấp thuận của Twitter với FTC cho phép các báo cáo kiểm toán dựa trên chứng thực. Sau đó, trong lần dàn xếp thứ hai trong năm nay, FTC đã đưa ra các yêu cầu kiểm toán cụ thể hơn, cấm các kiểm toán viên bên thứ ba của Twitter dựa "chủ yếu" vào chứng thực của ban quản lý Twitter.
Ngay cả với những loại hạn chế đó, vẫn có những lý do để hoài nghi về các báo cáo kiểm toán của FTC, Gray nói. Đó là bởi vì các kiểm toán viên của bên thứ ba không được FTC trả tiền mà bởi các công ty được kiểm toán, cô nói.
“Vì vậy, các ưu đãi hoàn toàn không có lợi cho các công ty kiểm toán,” Gray nói thêm.
Twitter nói với CNN rằng kiểm toán chỉ là một trong những chương trình bảo mật và quyền riêng tư mà Twitter phải đáp ứng các nghĩa vụ FTC của mình.
Nhiều quan chức FTC hiện tại và trước đây, cũng như các nhà lập pháp Hoa Kỳ và những người ủng hộ người tiêu dùng, đã thúc đẩy cung cấp cho FTC nhiều công cụ hơn để quy trách nhiệm cho các doanh nghiệp, đặc biệt là sau Tòa án Tối cao năm ngoái quật ngã khả năng của cơ quan trong việc tìm kiếm cứu trợ tiền tệ trong một số trường hợp.
Một số người ủng hộ việc giám sát chặt chẽ hơn đã kêu gọi, ví dụ, để FTC phạt tiền đối với các công ty lần đầu tiên vi phạm Đạo luật FTC. Hiện tại, FTC thường chỉ có thể tìm cách áp dụng các hình phạt dân sự đối với một công ty sau khi nó đã vi phạm một thỏa thuận trước.
Trong trường hợp của Twitter, việc đàm phán một lệnh đồng ý lần thứ ba có vẻ giống một cái nhìn kỳ quặc, một cựu quan chức FTC khác cho biết, nói với điều kiện giấu tên để nói chuyện thẳng thắn hơn. Nhưng trong trường hợp phát hiện vi phạm và như mọi trường hợp, FTC sẽ cần phải cân nhắc những gì họ tin rằng họ có thể thu được từ Twitter thông qua một thỏa thuận chống lại những gì cơ quan có thể giành được từ một phiên tòa xét xử.
Có những rủi ro đối với các vụ kiện tụng kéo dài, kéo dài, trong đó một tòa án thực sự có thể trao FTC ít hơn, cựu quan chức nói.
“Một số người nghĩ rằng những mệnh lệnh này chẳng là gì cả,” cựu quan chức nói, “nhưng không phải vậy. Có thể trong một số trường hợp là như vậy, và các công ty không coi trọng chúng. Nhưng trong rất nhiều trường hợp, họ làm như vậy và FTC có thể xác định được rất nhiều nỗi đau. Rất nhiều nỗi đau."
The-CNN-Wire ™ & © 2022 Cable News Network, Inc., một Công ty Khám phá của Warner Bros. Đã đăng ký Bản quyền.
