在《纽约时报》早些时候报道的美国证券交易委员会(SEC)文件中,Twitter透露,它在上月底收到了联邦贸易委员会的起诉书草案。监管机构抱怨的活动据称发生在2013年至2019年之间。
去年10月,这家社交媒体公司公开披露,它使用用户提供的电话号码和电子邮件地址来设置双因素身份验证,以增强他们账户的安全性,以提供有针对性的广告-将这种混乱归咎于一个定制的受众计划,该计划允许公司根据自己的营销名单定向广告。
Twitter发现,当广告商上传他们自己的营销列表(电子邮件和/或电话号码)时,它会将用户与他们提交的数据进行匹配,纯粹是为了在他们的Twitter账户上设置双因素身份验证。
Twitter在提交给美国证券交易委员会(SEC)的文件中写道:“这些指控涉及该公司在2013年至2019年期间使用出于安全和安保目的提供的电话号码和/或电子邮件地址数据进行定向广告。”“本公司估计此事的可能损失范围为1.5亿至2.5亿美元,并已记录1.5亿美元的应计项目。”
它补充说:“这件事仍未解决,也不能保证任何最终结果的时间或条款。”
该公司在安全方面经历了炎热的几周,上个月遭遇了一起重大安全事件,原因是黑客获得了其内部账户管理工具的权限,使他们能够进入包括比尔·盖茨(Bill Gates)、埃隆·马斯克(Elon Musk)和乔·拜登(Joe Biden)在内的数十名认证Twitter用户的账户,并利用这些用户发送加密货币诈骗推文。自那以后,警方已经指控三人犯有黑客行为,其中包括一名17岁的佛罗里达州青少年。
今年6月,Twitter还披露了一个安全漏洞,可能暴露了一些商业客户的信息。尽管去年它被迫报告了另一系列安全事件-包括一名研究人员发现了一个漏洞,使他能够发现与数百万Twitter账户相关的电话号码。
Twitter还承认,它向其中一个合作伙伴提供了账户位置数据,即使这名用户选择了不共享他们的数据;并无意中向其广告合作伙伴提供了超过应有的数据。
此外,在欧洲等待执法的科技巨头中,该公司现在排在了前列,这些投诉与GDPR的重大投诉有关-在欧洲,地区对数据违规的罚款可能高达公司全球年营业额的4%。今年5月,Twitter的主要数据保护监管机构爱尔兰的DPC向欧盟其他数据机构提交了一份与对其安全漏洞之一的调查有关的决定草案,最终决定可能在今年夏天做出。
这一决定与监管机构在2018年Twitter又一次重大安全故障后发起的调查有关-当时Twitter披露,一个漏洞导致一些密码以明文存储。
正如我们当时报道的那样,如此规模的公司犯下如此基本的安全错误是相当不寻常的。但Twitter未能保护用户数据的历史由来已久,早在2009年就发生了额外的黑客事件,导致了2011年联邦贸易委员会的同意令。
根据和解协议的条款,Twitter在20年内被禁止在数据安全方面误导消费者,以了结联邦贸易委员会的指控,即Twitter“未能保护消费者的个人信息,欺骗了消费者,并将他们的隐私置于危险之中”。
它还同意建立和保持“一个全面的信息安全计划”,独立审计师评估每隔一年进行一次,为期10年。
考虑到该命令的条款,罚款看起来确实是不可避免的。然而,这里更广泛的失误是美国监管机构的失误-10多年来,美国监管机构一直未能应对剥削性的、基于监控的商业模式,这些模式导致了多家数据挖掘广告科技巨头(不仅仅是Twitter)的入侵和安全漏洞。