Zephyrnet-logo

Twitter versus feds: hoeveel problemen heeft de sociale reus?

Datum:

Een explosieve onthulling door het voormalige hoofd van de beveiliging van Twitter deze week stelt het bedrijf bloot aan nieuwe federale onderzoeken en mogelijk miljarden dollars aan boetes, strengere wettelijke verplichtingen of andere straffen van de Amerikaanse overheid, aldus juridische experts en voormalige federale functionarissen.

Twitter wordt geconfronteerd met enorme juridische risico’s als gevolg van de klokkenluidersonthulling door Peiter ‘Mudge’ Zatko, die in een bijna 200 pagina's tellende openbaarmaking aan de autoriteiten dat het bedrijf vol zit met tekortkomingen op het gebied van informatiebeveiliging – en dat de leidinggevenden in sommige gevallen het eigen bestuur en het publiek hebben misleid over de voorwaarden van het bedrijf, of zelfs regelrechte fraude hebben gepleegd.

Twitter heeft Zatko, die van november 2020 tot zijn ontslag in januari bij het bedrijf werkte, beschuldigd van slechte prestaties, volgens Twitter, van het opdringen van “een vals verhaal over Twitter en onze privacy- en gegevensbeveiligingspraktijken, dat doordrenkt is van inconsistenties en onnauwkeurigheden en mist een belangrijke context.” Zatko is een hoog aangeschreven cybersecurity-expert met ervaring in hogere functies bij Google, Stripe en het ministerie van Defensie. Zijn openbaarmaking als klokkenluider werd dinsdag voor het eerst gerapporteerd door CNN en The Washington Post.

Voldoen aan een FTC-privacyregeling uit 2011

In zijn mededeling aan de Amerikaanse regering beweert Zatko dat Twitter “ernstige tekortkomingen” heeft op het gebied van cyberbeveiliging, toezichthouders opzettelijk heeft misleid over de omgang met gebruikersgegevens en dat het bedrijf zijn verplichtingen uit hoofde van een wet niet nakomt. Privacyschikking uit 2011 met de Federal Trade Commission – een juridisch bindend bevel dat onder andere het creëren van “redelijke waarborgen” vereist om de persoonlijke informatie van gebruikers te beschermen. De FTC weigerde commentaar te geven op de openbaarmaking.

Zatko's vernietigende onthulling beweert dat ongeveer de helft van de Twitter-werknemers, inclusief al zijn technici, buitensporige interne toegang heeft tot het live product van het bedrijf, dat binnen het bedrijf bekend staat als 'productie', samen met daadwerkelijke gebruikersgegevens. Het bedrijf beweert ook dat het bedrijf niet in staat is zich te verdedigen tegen bedreigingen van binnenuit, buitenlandse overheden en onbedoelde datalekken.

“Een fundamenteel engineering- en beveiligingsprincipe is dat de toegang tot live productieomgevingen zoveel mogelijk moet worden beperkt”, aldus de onthulling. “Maar bij Twitter bouwden, testten en ontwikkelden ingenieurs nieuwe software direct in productie met toegang tot live klantgegevens en andere gevoelige informatie in het Twitter-systeem.”

Twitter-klokkenluider beweert roekeloos en nalatig cyberbeveiligingsbeleid

Twitter heeft tegen CNN gezegd dat het FTC-nalevingsrecord voor zich spreekt, daarbij verwijzend naar audits van derden die bij het agentschap zijn ingediend onder het toestemmingsbevel uit 2011. Twitter voegde eraan toe dat het voldoet aan de relevante privacyregelgeving en dat het transparant is geweest tegenover toezichthouders over zijn inspanningen om eventuele tekortkomingen in zijn systemen te verhelpen. Zatko nam niet deel aan de auditwerkzaamheden en begreep de FTC-verplichtingen van Twitter niet volledig, noch hoe het bedrijf deze nakwam, aldus Twitter.

In de onthulling wordt beweerd dat het personeel van Zatko “zeer goed bekend” was met de kwesties van Twitter vóór de FTC en dat zij het waren die Zatko vertelden dat Twitter het bevel uit 2011 nooit had nageleefd, en ook niet op weg was om hieraan te voldoen.

“Wij staan ​​absoluut achter de inhoud van de onthulling van Mudge”, vertelde John Tye, Zatko's advocaat en oprichter van Whistleblower Aid, de organisatie die hem vertegenwoordigde, aan CNN.

Zatko komt mogelijk in aanmerking voor een geldelijke beloning van de Amerikaanse overheid als gevolg van zijn klokkenluidersactiviteiten. “Originele, tijdige en geloofwaardige informatie die leidt tot een succesvolle handhavingsactie” van de SEC kan klokkenluiders tot 30% korting opleveren op de boetes voor instanties die verband houden met de actie als de boetes meer dan $ 1 miljoen bedragen, aldus de SEC. De SEC heeft sinds 1 ruim 270 miljard dollar toegekend aan ruim 2012 klokkenluiders.

Zatko diende zijn openbaarmaking in bij de SEC “om de dienst te helpen de wetten af ​​te dwingen” en om federale bescherming voor klokkenluiders te verkrijgen, zei Tye. “Het vooruitzicht op een beloning speelde geen rol bij de beslissing van Mudge, en feitelijk wist hij niet eens van het beloningsprogramma toen hij besloot een wettige klokkenluider te worden.”

De openbaarmaking door de klokkenluider komt maanden na de FTC heeft zijn eigen beschuldigingen geuit dat Twitter misbruik maakte van accountbeveiligingsinformatie voor reclamedoeleinden, in strijd met het bevel uit 2011. Twitteren stemde ermee in om $ 150 miljoen te betalen in mei om deze claims op te lossen in een tweede FTC-schikking.

Nu roept de onthulling van Zatko het vooruitzicht op van nog een mogelijke schending van de FTC-verplichtingen van Twitter – een buitengewoon gevaarlijke positie voor een bedrijf en zijn leidinggevenden, volgens Jon Leibowitz, die voorzitter was van de FTC ten tijde van de schikking van Twitter in 2011.

“Als de feiten waar zijn, zouden ze schendingen van het bevel en van de FTC-wet vormen – en dat zou Twitter tot een drievoudige verliezer maken”, vertelde Leibowitz in een interview aan CNN. “Er zou geen reden zijn voor de FTC om het boek niet naar hen te gooien.” Natuurlijk, zo voegde Leibowitz eraan toe, zou de FTC eerst een grondig onderzoek moeten uitvoeren om zelf vast te stellen of er een nieuwe overtreding heeft plaatsgevonden.

Senator Richard Blumenthal, voorzitter van de subcommissie consumentenbescherming van de Senaat en voormalig procureur-generaal van Connecticut, zei dinsdag in een verklaring dat de onthullingen van Zatko “onthullen dat de verantwoordelijkheid voor de veiligheidsproblemen van Twitter bij degenen aan de top ligt.”

Hij drong er in een brief verder bij de FTC op aan om de beschuldigingen te onderzoeken, waarbij hij zei dat ambtenaren boetes moeten opleggen en leidinggevenden van Twitter persoonlijk aansprakelijk moeten stellen als blijkt dat zij verantwoordelijk zijn voor schendingen van de FTC Act of het toestemmingsbevel van Twitter. De eigen geloofwaardigheid van de FTC staat op het spel, zei Blumenthal in de brief, die dinsdag ook naar de FTC werd gestuurd.

“Als de Commissie haar bevelen niet krachtig controleert en afdwingt, zullen ze niet serieus worden genomen en zullen deze gevaarlijke inbreuken voortduren”, schreef Blumenthal.

“Het is zelfs aanzienlijk erger geworden”

Volgens haar charter is de FTC bevoegd om “oneerlijke of bedrieglijke zakelijke handelingen en praktijken” te vervolgen. In het internettijdperk betekende dat steeds meer dat we achter bedrijven aan moesten gaan die beweren de digitale informatie van consumenten te beschermen, maar die er in werkelijkheid niet in slagen hun publieke claims waar te maken of die bescherming verkeerd voor te stellen.

De oorspronkelijke schikking van Twitter uit 2011 kwam voort uit twee vermeende incidenten waar hackers zwakke wachtwoorden van werknemers konden compromitteren en hun toegang konden misbruiken om Twitter-accounts over te nemen en privé-informatie te bespioneren, ondanks de publieke verklaringen van Twitter over het beschermen van de privacy en veiligheid van gebruikers.

De schikking van Twitter was geen erkenning van wangedrag. Maar het nodig Twitter wil “een alomvattend informatiebeveiligingsprogramma creëren dat redelijkerwijs is ontworpen om de veiligheid, privacy, vertrouwelijkheid en integriteit van niet-openbare consumenteninformatie te beschermen” – een belofte die volgens Zatko nooit is nagekomen.

Als onderdeel van de laatste FTC-schikking dit jaar heeft Twitter zich gecommitteerd aan nog gedetailleerdere cyberveiligheidsverplichtingen, waaronder het hebben van “toegangsbeleid en -controles” voor alle databases die gebruikersgegevens bevatten, evenals voor systemen die werknemers toegang verlenen tot Twitter-accounts of die informatie bevatten die de toegang tot interne Twitter-systemen “mogelijk maakt of vergemakkelijkt”. Deze verplichtingen zijn al van kracht na de ondertekening van het bevel door een rechter dit voorjaar, waardoor de potentiële juridische blootstelling voor Twitter verder wordt vergroot.

Ondanks de toenemende wettelijke eisen van Twitter beweert Zatko dat er niet veel is veranderd bij het bedrijf sinds de eerste klacht van de FTC meer dan tien jaar geleden.

“De zaken zijn feitelijk veel erger geworden”, beweert zijn onthulling aan het Congres. De openbaarmaking beweert dat zelfs toen Twitter vorig jaar actief onderhandelde over de tweede schikking met de FTC, het bedrijf, in een geheel afzonderlijk incident, toestond dat precies hetzelfde soort misbruik van gegevens voor reclamedoeleinden zich opnieuw voordeed.

In antwoord op meer dan vijftig specifieke vragen van CNN met betrekking tot de onthulling ging Twitter niet in op de bewering van Zatko rond dat incident. Het erkende wel dat zijn engineering- en productteams toegang kunnen krijgen tot de live productieomgeving van Twitter, op voorwaarde dat ze een specifieke zakelijke rechtvaardiging hebben, en voegde eraan toe dat leden van andere afdelingen – zoals financiën, juridische zaken, marketing, verkoop, personeelszaken en ondersteuning – dat niet kunnen. Twitter vertelde CNN ook dat de computers van werknemers automatisch worden gecontroleerd om te bepalen of ze up-to-date zijn, en dat computers die niet aan de controles voldoen geen verbinding kunnen maken met de productie.

Potentieel voor een nieuwe schikking of rechtszaak

De inzet van de onthulling kan enorm groot zijn. Een FTC-bevinding dat Twitter zijn bevel voor de derde keer heeft overtreden, zou kunnen resulteren in de zwaarste straffen die de dienst ooit aan het bedrijf heeft opgelegd. De FTC wordt momenteel ook voorgezeten door Lina Khan, een vocale scepticus van technologieplatforms en van wat zij een ‘commerciële surveillance’-industrie noemt die profiteert van lakse nationale privacyregels. Onder Khan overweegt de FTC een opstelling ingrijpende nieuwe privacyregels die bedrijven in de hele economie, waaronder Twitter, rechtstreeks zouden kunnen beïnvloeden, en de manier waarop zij persoonlijke gegevens verzamelen, gebruiken en delen.

Mocht de FTC tot de conclusie komen dat er sprake is van een overtreding, dan heeft zij twee belangrijke opties om Twitter aansprakelijk te stellen, zeggen voormalige functionarissen van het agentschap. Het zou een derde schikking met het bedrijf kunnen zoeken, of het zou Twitter kunnen aanklagen wegens de bestaande toestemmingsbevelen en een rechtbank om passende straffen kunnen vragen.

In het geval van een schikking zou de FTC zelfs kunnen proberen individuele leidinggevenden bij naam te noemen, hen persoonlijk aansprakelijk te stellen en hen te dwingen verplichtingen op het gebied van hun eigen gedrag te aanvaarden waarvoor zij aansprakelijk kunnen worden gesteld als zij of het bedrijf het bevel opnieuw schenden.

Als blijkt dat Twitter zijn wettelijke verplichtingen heeft geschonden, zei Leibowitz, zou de FTC “zeer serieus moeten overwegen … de verantwoordelijke leidinggevenden op orde te brengen.”

Alleen al het dreigen met het benoemen van individuele managers kan effectief zijn, voegde hij eraan toe. Tijdens zijn tijd als voorzitter van de FTC herinnerde Leibowitz zich: “Ik kan je niet vertellen hoeveel CEO's mijn kantoor binnenkwamen en zeiden: 'Noem mij alsjeblieft niet. Ik wil gewoon niet genoemd worden. Ik vind het niet erg als ik meer geld betaal; Ik vind het niet erg als mijn bedrijf onder een sterker bevel wordt geplaatst. Maar ik wil gewoon niet genoemd worden.'”

Megan Gray, een voormalige handhavingsadvocaat van de FTC die aan enkele van de grootste privacyzaken van de FTC heeft gewerkt, zei dat de FTC over talloze instrumenten beschikt. (CNN sprak met Gray voordat de beschuldigingen van Zatko openbaar werden en zonder het bestaan ​​ervan bekend te maken, en vervolgens opnieuw op dinsdag nadat CNN en The Washington Post de onthulling van Zatko hadden gerapporteerd.)

“Escalerende boetes, meer nalevingsrapporten, gedetailleerdere controles en beperkingen voor hun bedrijfsactiviteiten”, zei Gray, terwijl hij een lijst met opties afvinkte. “Of een vereiste om advertenties vooraf te laten goedkeuren door het bureau, of om ze uit te sluiten van bepaalde soorten transacties.”

Een bureau dat meer instrumenten nodig heeft om bedrijven verantwoordelijk te houden

Twitter heeft zijn audits door derden aangehaald als bewijs dat het zijn FTC-toezeggingen heeft nagekomen. Maar over het algemeen kan de manier waarop de auditvereisten van de FTC in de praktijk werken bedrijven veel te gemakkelijk van de wijs brengen, aldus Gray.

Veel FTC-orders zijn bijvoorbeeld breed genoeg geschreven om een ​​bedrijf in staat te stellen aan zijn verplichtingen te voldoen, onder meer op basis van ‘attesten’ dat ze aan de regels voldoen – een pinkiebelofte, vertelde Gray aan CNN. In rapporten aan de FTC kunnen bedrijven die audits door derden uitvoeren eenvoudigweg zeggen, of verklaringen van het gecontroleerde bedrijf aanhalen, dat het bedrijf zich aan de regels houdt.

Van 2011 tot 2022 stond Twitter's toestemmingsbevel bij de FTC auditrapporten toe op basis van attesten. Vervolgens heeft de FTC in haar tweede schikking dit jaar de auditvereisten specifieker gemaakt, waardoor de externe auditors van Twitter niet “vooral” mochten vertrouwen op verklaringen van het management van Twitter.

Zelfs met dit soort beperkingen zijn er nog steeds redenen om sceptisch te zijn over auditrapporten van de FTC, zei Gray. Dat komt omdat externe auditors niet door de FTC worden betaald, maar door de bedrijven die worden gecontroleerd, zei ze.

“Dus de prikkels zijn volkomen misplaatst voor de auditbedrijven”, voegde Gray eraan toe.

Twitter vertelde CNN dat audits slechts een van de privacy- en beveiligingsprogramma's zijn die Twitter heeft om aan zijn FTC-verplichtingen te voldoen.

Veel huidige en voormalige FTC-functionarissen, evenals Amerikaanse wetgevers en consumentenadvocaten, hebben erop aangedrongen de FTC meer instrumenten te geven om bedrijven ter verantwoording te roepen, vooral nadat het Hooggerechtshof vorig jaar neergeslagen het vermogen van het agentschap om onder bepaalde omstandigheden financiële hulp te zoeken.

Sommige voorstanders van strenger toezicht hebben opgeroepen, bijvoorbeeld door de FTC boetes te laten uitdelen aan bedrijven voor eerste overtredingen van de FTC-wet. Momenteel kan de FTC doorgaans alleen civielrechtelijke sancties aan een bedrijf opleggen nadat het een eerdere schikking heeft geschonden.

In het geval van Twitter kan het voor de derde keer onderhandelen over een toestemmingsbevel een vreemde aanblik lijken, zei een andere voormalige FTC-functionaris, die op voorwaarde van anonimiteit sprak om openhartiger te kunnen spreken. Maar als er sprake is van een overtreding, zal de FTC, zoals in elk geval, een afweging moeten maken van wat zij denkt te kunnen verkrijgen via Twitter via een schikking, en wat de FTC mogelijk kan winnen van een rechtbank.

Er zijn risico's verbonden aan langdurige, langdurige rechtszaken, waarbij een rechtbank de FTC feitelijk minder kan toekennen, zei de voormalige functionaris.

'Sommige mensen denken inderdaad dat deze bevelen niets voorstellen,' zei de voormalige functionaris, 'maar dat is niet zo. Misschien is dat in sommige gevallen wel zo, en nemen bedrijven ze niet serieus. Maar in veel gevallen is dat wel het geval, en de FTC kan veel pijn veroorzaken. Veel pijn.”

The-CNN-Wire™ & © 2022 Cable News Network, Inc., een Warner Bros. Discovery Company. Alle rechten voorbehouden.

spot_img

Laatste intelligentie

spot_img