Is Elon Musk de FTC-schikking van Twitter vergeten?

Juridisch breed geformuleerd

Zo is in de FTC-overeenkomst bepaald dat Twitter bij het - al dan niet zelf of indirect - aanbieden van wat voor product of dienst dan ook geen misleidende verklaringen mag geven over de mate van beveiliging. Over die te nemen securitymaatregelen moet Twitter ook een gedegen en duidelijk securityplan hebben en bijhouden. Dat plan moet volledig gedocumenteerd zijn, met daarin opgenomen dan administratieve, technische en fysieke waarborgen.

Ook moet de aard en scope van activiteiten van Twitter goed zijn vastgelegd. Daarbij komt een verplichting voor het aanwijzen van een werknemer of werknemers die het programma voor informatiebeveiliging coördineren en daarvoor aansprakelijk zijn. Verder moet het bedrijf aanzienlijke risico's - die redelijkerwijs zijn te voorzien - van interne en externe aard identificeren.

Musks grote ontslagronde, de daaruit volgende onrust en interne situatie, plus externe chaos door plots doorgevoerde en vervolgens weer gewijzigde nieuwe functionaliteit kunnen mogelijk deze FTC-verplichtingen schenden.

Klokkenluider en 2011-schikking

Bovendien kan er vóór Musks bewind al sprake zijn geweest van schendingen. Afgelopen zomer heeft een klokkenluider bij Twitter al alarm geslagen dat het bedrijf zijn security niet op orde heeft. Daarmee zou niet alleen de beveiliging van het social network in gevaar zijn, maar ook het voldoen aan de schikking met de FTC. De klokkenluider in kwestie was het toenmalige securityhoofd Peiter Zatko, bij oudgediende hackers bekend onder zijn nickname 'Mudge' van hackerdenktank L0pht en oer-hackersorganisatie Cult of the Dead Cow.

Zatko stelde toen in zijn melding bij beurstoezichthouder SEC (Securities and Exchange Commission) en het Amerikaanse ministerie van Justitie dat Twitter in overtreding was voor een FTC-schikking van 2011. Daarin gaf het bedrijf toe dat het had gefaald in het beschermen van persoonlijke informatie van gebruikers. In het kader van die nu ruim elf jaar oude schikking is Twitter voor twintig jaar gebonden aan bepalingen om consumenten goed voor te lichten over maatregelen ter bescherming van hun beveiliging, privacy en vertrouwelijkheid van niet-publieke consumenteninformatie.

"Het bedrijf moet ook een veelomvattend securityprogramma opzetten en onderhouden", bepaalde de FTC toen dus al. Dat plan en systeem voor informatiebeveiliging zou dan via een onafhankelijke audit worden gecontroleerd, om het jaar voor de komende tien jaar.

Wel/geen plan

Volgens Zatko heeft Twitter valselijk gesteld dat het een solide securityplan had. Hij zou collega's herhaaldelijk hebben gewaarschuwd dat de helft van de servers van het bedrijf verouderde, ongepatchte software draait. Leidinggevenden zouden informatie over beveiligingsinbreuken hebben verbloemd of zelfs verzwegen. Vergaande toegangsrechten van werknemers hadden ook al gezorgd voor genânte hacks, waaronder het kapen van Twitter-accounts van invloedrijke personen als voormalige presidenten Barack Obama en Donald Trump, plus Tesla-topman Elon Musk.

Laatstgenoemde heeft nog geprobeerd de alarmmelding van Zatko aan te grijpen om onder de eerder overeengekomen koop van Twitter uit te komen. Musk had een topbedrag geboden, waar het toenmalige bestuur van het overnamedoelwit mee akkoord was gegaan. Nadat ook aandeelhouders hun zegen aan deze deal gaven, wou de beoogde koper er toch onderuit komen. Daarover werd toen een rechtszaak gestart die is gesmoord voordat het echt van gang ging omdat Musk alsnog de koop doorzette.

Sindsdien is Twitter onderhevig aan beslissingen van de nieuwe eigenaar, die vooralsnog geen duidelijk plan heeft onthuld en die grillige of zelfs kortzichtige ingrijpen lijkt te plegen. Zo is een groot deel van het personeelsbestand abrupt ontslag aangezegd, waarbij er ogenschijnlijk geen sprake is van goede overdracht. Dit betreft zowel taken en verantwoordelijkheden als ook kennis en informatie over Twitters ICT-omgeving.

Verder dreigt er nog personeelsverloop door mensen die uit zichzelf weggaan. Dit alles kan impact hebben op de security van Twitter en daarmee een schending inhouden van de FTC-schikking uit 2011 en die van eerder dit jaar. De zwalkende situatie rondom verificatievinkjes voor Twitter-accounts draagt ook nog bij aan de verwarring rond vertrouwelijkheid, betrouwbaarheid en gebruikersvertrouwen. Diverse phishing- en scamoperaties zijn gaande, waarbij ook sluw inlogs op Twitter zelf worden vergaard.

Daar komt bovendien nog bij dat Twitters CISO gisteren heeft aangekondigd op te stappen. 

I've made the hard decision to leave Twitter. I've had the opportunity to work with amazing people and I'm so proud of the privacy, security, and IT teams and the work we've done.

I'm looking forward to figuring out what's next, starting with my reviews for @USENIXSecurity 😁

— Lea Kissner (@LeaKissner) November 10, 2022

Miljardenboete

Eerder is sociaal netwerk Facebook door de FTC gestraft met een boete van 5 miljard dollar, omdat het zich niet had gehouden aan een FTC-overeenkomst. Ook dat was een schikking die was bereikt voor geconstateerde privacyschendingen, die teruggaan naar 2011. Bij die miljardenboete van juli 2019 is toen ook de macht van de CEO ingeperkt door opgelegde bestuurswijzigingen. Voor het grote Facebook was dat FTC-recordbedrag toen slechts slechts één maand aan omzet. Het bedrijf van CEO Mark Zuckerberg had in het kwartaal vóór die boete een omzet van 15 miljard dollar, en wist in 2018 een winst van 22 miljard dollar te halen.

Twitter is heel anders, zeker nu het net voor 44 miljard dollar is overgenomen door Tesla-topman Musk. Hij heeft voor die overname - afgedwongen door Twitters bestuur, dat hij inmiddels heeft ontslagen - flink moeten lenen. Daarbij heeft Musk aandelen in automaker Tesla als onderpand moeten geven. De beurswaarde van die aandelen is mede door Musks willekeurig lijkende veranderingen bij Twitter flink onderuit gegaan. Het al jaren met verlies draaiende Twitter moet flink winst maken om alleen al de rente op Musks leningen te kunnen ophoesten. Een eventuele FTC-boete kan dat flink doorkruisen.