Les hauts responsables de la sécurité de Twitter ont démissionné

Commentaire

SAN FRANCISCO – Plusieurs hauts responsables de la confidentialité et de la sécurité ont démissionné de Twitter jeudi, invoquant des craintes concernant les risques liés à la direction d’Elon Musk, dans un exode stupéfiant qui a incité les régulateurs fédéraux à avertir qu’ils pourraient intervenir.

Responsable de la sécurité de l’information Lea Kissner tweeté qu’ils avaient pris la “décision difficile” de démissionner, et que le responsable de la confidentialité et le responsable de la conformité de l’entreprise ont également démissionné, selon des captures d’écran du message Slack interne d’un employé partagé avec le Washington Post.

Un employé actuel de Twitter a déclaré que plusieurs autres membres de l’unité de confidentialité et de sécurité du site avaient également démissionné, tandis qu’un autre a déclaré que ceux qui restaient essayaient d’arrêter une vague d’abus dans le service payant étendu de l’entreprise, Twitter Blue.

Les départs ont provoqué un rare avertissement de la Federal Trade Commission, qui est devenue le principal chien de garde du gouvernement dans la Silicon Valley. C’était la deuxième fois en deux jours que Washington s’inquiétait des développements chaotiques de l’entreprise, à venir moins que 24 heures après que le président Biden a déclaré que les relations de Musk avec d’autres pays méritaient un examen minutieux.

L’agence a déclaré qu’elle “suivait les développements sur Twitter avec une profonde inquiétude” et qu’elle était prête à prendre des mesures pour s’assurer que l’entreprise se conformait à un règlement connu sous le nom d’ordonnance de consentement, qui oblige Twitter à se conformer à certaines exigences de confidentialité et de sécurité. en raison d’allégations d’utilisation abusive de données dans le passé. Twitter a été soumis pour la première fois à une ordonnance de consentement en 2011, et il a accepté une nouvelle ordonnance plus tôt cette année pour avoir prétendument abusé des numéros de téléphone et des adresses e-mail collectés à des fins de sécurité pour la publicité.

Twitter va payer une amende de 150 millions de dollars pour des données collectées de manière trompeuse

“Aucun PDG ou entreprise n’est au-dessus de la loi, et les entreprises doivent suivre nos décrets de consentement”, a déclaré Douglas Farrar, directeur des affaires publiques de la FTC. “Notre ordonnance de consentement révisée nous donne de nouveaux outils pour assurer la conformité, et nous sommes prêts à les utiliser.”

Les membres du personnel de la confidentialité ont déclaré qu’ils étaient les plus préoccupés par le déploiement rapide de nouvelles fonctionnalités sans les examens de sécurité complets requis par le décret de consentement de la FTC. Ils se sont également opposés à l’ordre de Musk dans un e-mail mercredi soir – son premier au personnel depuis qu’il a pris le contrôle de l’entreprise – selon lequel tous les employés devaient commencer à travailler au bureau 40 heures par semaine, à compter de jeudi.

L’e-mail de Musk n’a pas abordé la longue tradition de travail flexible et à distance de Twitter. Au lieu de cela, il a cité un besoin urgent de gagner de l’argent avec Twitter Blue. “Sans revenus d’abonnement importants, il y a de fortes chances que Twitter ne survive pas au ralentissement économique à venir”, a averti Musk. “Nous avons besoin d’environ la moitié de nos revenus pour être des abonnements.”

Les développements ont indiqué comment la FTC pourrait être l’agence gouvernementale qui agit comme un contrôle sur Musk, qui a supervisé chaos sans précédent durant ses deux premières semaines à la tête de Twitter. Le gouvernement fédéral n’exerce qu’une surveillance limitée des entreprises de médias sociaux, mais la FTC a utilisé sa surveillance de la protection des consommateurs et de la concurrence pour s’imposer comme le principal organisme de réglementation de la confidentialité des données du pays. L’agence a utilisé des ordonnances de consentement pour tenir certaines des plus grandes entreprises technologiques du pays, notamment Google, Facebook, Snap et d’autres, responsables de faux pas présumés en matière de confidentialité. En 2019, l’agence a conclu un accord de 5 milliards de dollars avec Facebook pour avoir prétendument violé les termes d’une commande antérieure.

D’anciens responsables de la FTC ont averti que les départs de responsables clés de la confidentialité et de la sécurité, ainsi que certaines des modifications proposées par Musk aux produits Twitter, exposaient l’entreprise à de graves risques réglementaires.

Twitter a accepté dans son règlement de désigner des employés responsables de la confidentialité et de la sécurité, y compris un cadre supérieur qui serait chargé de certifier que l’entreprise était en conformité. Les départs soulèvent des questions quant à savoir si une telle chaîne de commandement est toujours en place et si les personnes qui s’y trouvent encore ont l’autorité et les relations nécessaires pour s’assurer que l’ordre est appliqué.

“Il y a beaucoup de périls pour l’entreprise si elle n’a pas de continuité”, a déclaré un ancien responsable de la FTC, qui a parlé sous couvert d’anonymat pour discuter franchement des risques réglementaires pour l’entreprise.

David C. Vladeck, qui était directeur du Bureau de la protection des consommateurs de la FTC au moment du premier règlement de Twitter avec l’agence, a déclaré que les départs et le chaos des premières semaines de propriété de Musk soulèvent des questions quant à savoir si “les exigences de conformité vont tomber à travers les fissures.

Vladeck a déclaré que les sanctions pourraient être exponentiellement plus élevées pour Twitter s’il est allégué qu’il viole son accord avec la FTC une deuxième fois. “Il y aurait un multiple très important de la dernière amende”, a-t-il déclaré, faisant référence à la sanction de mai, qui entraînait une amende de 150 millions de dollars. “Vous devez ajouter un point décimal à cela.”

Twitter a conclu le décret de consentement avec la FTC après des allégations selon lesquelles il aurait utilisé de manière trompeuse des e-mails et des numéros de téléphone qu’il a déclaré collecter à des fins de sécurité pour cibler les utilisateurs avec de la publicité. La FTC a allégué que cela violait un décret de consentement de 2011 qu’elle avait conclu avec la société.

Le nouveau décret obligeait Twitter à lancer des programmes de confidentialité et de sécurité améliorés, qui devaient être audités par un tiers. Dans le cadre de ce programme, Twitter est tenu de procéder à une évaluation de la confidentialité de tous les nouveaux produits qu’il lance.

Les départs ont également invité à un examen minutieux en Europe, qui, contrairement aux États-Unis, dispose d’une loi générale sur la protection des données. La Commission irlandaise de protection des données demande plus de détails à la société sur le départ du responsable de la protection de la vie privée de la société, Damien Kieran. Selon les règles européennes, les entreprises sont tenues de mettre en place un délégué à la protection des données.

Un porte-parole du DPC irlandais a déclaré que l’agence n’avait “reçu aucune notification officielle de Twitter”. Kieran n’a pas répondu à une demande de commentaire. L’ancienne responsable de la conformité de Twitter, Marianne Fogarty, n’a pas non plus répondu à une demande de commentaire, mais lundi tweeté“Je ne regarde pas Game of Thrones. Je ne veux certainement pas y jouer au travail.

Mercredi, Twitter a commencé à autoriser tout utilisateur qui a payé 8 $ à recevoir la même coche bleue que la plate-forme a accordée pendant des années uniquement aux politiciens, entreprises et célébrités vérifiés. Mais parce que la société n’effectue aucune vérification d’identité, un flux de faux comptes a proliféré sur le site, notamment pour le président Biden, le pape François et l’ancien Premier ministre britannique Tony Blair, dont certains ont publié des blagues sexuelles ou des messages explicites. Musk a déclaré que la société suspendrait ces comptes, mais un certain nombre de faux comptes sont restés en ligne pendant des heures, recevant des dizaines de milliers de “j’aime” et de retweets.

Le service de vérification payant de Twitter est ici. Que souhaitez-vous savoir.

Alors que Musk est sur une trajectoire de collision avec le gouvernement américain, des comptes factices mais vérifiés pour George W. Bush, Tony Blair et Rudy Giuliani ont proliféré sur le site. L’un des derniers tweets de Musk, il y a sept heures, était un réponse à quelqu’un mentionnant qu’un faux président Biden parlait d’accomplir un acte sexuel, auquel Musk a répondu avec deux emoji qui pleuraient de rire.

Le message de l’employé Slack indiquait que la publication rapide de produits et de modifications sans examen de sécurité efficace était “extrêmement dangereuse” pour les utilisateurs. Il a déclaré que les ingénieurs devraient assumer la charge de certifier que les produits étaient conformes aux accords FTC, ce qui les exposerait à un risque juridique personnel substantiel.

L’effondrement de la direction de la sécurité est particulièrement lourd car un audit de la FTC était attendu d’ici janvier, selon deux personnes familières avec le calendrier. L’un d’eux a déclaré que Kissner et d’autres cadres avaient embauché, malgré un gel à l’échelle de l’entreprise, dans un effort effréné pour respecter les règles de conformité avant cette date.

“Des personnes désespérément nécessaires”, a déclaré l’un d’eux, qui faisait partie de la moitié environ de l’entreprise licenciée la semaine dernière et a parlé sous couvert d’anonymat pour discuter de problèmes internes à Twitter.

Le message Slack a publié un lien vers Whistleblower Aid, un cabinet d’avocats qui représentait l’ancien chef de la sécurité Peiter Zatko lorsqu’il a déposé une plainte cette année auprès de la Securities and Exchange Commission et d’autres responsables fédéraux citant des violations présumées liées à la FTC. Le Washington Post précédemment signalé sa plainte décrit comme une journalisation inadéquate de l’accès aux données sensibles et l’utilisation généralisée de logiciels obsolètes.

Le message avertissait que la FTC pourrait infliger une amende à Twitter « des MILLIARDS de dollars ». L’auteur a affirmé avoir entendu Alex Spiro, le meilleur avocat de Musk, dire que Musk était “prêt à prendre d’énormes risques en représailles à cette société et à ses utilisateurs, car” Elon met des fusées dans l’espace, il n’a pas peur de la FTC “. « Spiro n’a pas immédiatement répondu à une demande de commentaire.

L’ancien chef de la sécurité affirme que Twitter a enterré “des lacunes flagrantes”

D’autres employés ont déclaré qu’ils prenaient des congés payés jeudi en signe de désapprobation. Kissner, qui avait été amené par Zatko, était admiré sur Twitter et considéré comme un soutien crucial au milieu du chaos récent.

“Twitter a connu plusieurs incidents de sécurité majeurs au cours des dernières années en raison de contrôles internes médiocres et d’une architecture de données permissive”, a déclaré Alex Stamos, ancien responsable de la sécurité des données chez Facebook et Yahoo. “L’équipe dirigée par le Dr Kissner a fait de sérieux progrès pour combler ces failles, comme Twitter est tenu de le faire par le décret de consentement de la FTC.”

Lourdes Turrecha, avocate spécialisée dans la cybersécurité et la protection de la vie privée dans la Silicon Valley, a déclaré que les démissions soudaines étaient une bombe dans les cercles de la vie privée qui avaient déjà été stupéfaits par la plainte de lanceur d’alerte de Zatko et les licenciements massifs de l’entreprise.

“Ces cadres ne veulent pas risquer leur vie et aller en prison” si l’entreprise enfreint la loi, a-t-elle déclaré. “C’est une période très difficile d’être un responsable de la sécurité de l’information ou un responsable de la confidentialité dans la technologie en ce moment, surtout lorsque votre entreprise ne semble pas se soucier de ses pratiques en matière de confidentialité et de sécurité.”

Zakrzewski a rapporté de Washington, DC Drew Harwell a contribué.

Leave a Comment