Como denúncias sobre cibersegurança no Twitter podem impactar acordo com Musk
Em documento de quase 200 páginas, ex-chefe de segurança alega que Twitter não tem incentivo ou recursos para medir bots, um dos motivos para Musk querer sair do acordo de compra
O esforço de meses de Elon Musk para comprar – e depois deixar de comprar – o Twitter foi marcado por uma série de reviravoltas inesperadas. Agora, uma revelação impressionante do ex-líder de segurança da empresa, Peiter Zatko, quase certamente se tornará a próxima complicação.
Como parte de uma ampla divulgação de quase 200 páginas enviada no mês passado a legisladores e reguladores dos Estados Unidos, que foi mostrada exclusivamente pela CNN e pelo Washington Post, Zatko alega que o Twitter não tem incentivo nem recursos para medir todo o escopo de bots em sua plataforma.
Ele também alega que o Twitter sofre de uma série de outras vulnerabilidades de segurança que há anos não consegue corrigir. O Twitter se defendeu amplamente e criticou as alegações de Zatko como “cheias de inconsistências e imprecisões”.
Musk, que inicialmente disse que queria “derrotar os bots de spam” depois de comprar o Twitter, mais tarde alarmou que a empresa poderia estar subnotificando significativamente o número de spam e contas falsas, embora tivesse poucas evidências aparentes, além de sua própria experiência no plataforma, para apoiar suas alegações.
Ele tornou a questão central para a disputa legal sobre a aquisição de US$ 44 bilhões, mesmo quando o Twitter argumenta que Musk está simplesmente tentando sair de um acordo pelo qual ele se arrependeu em meio a uma desaceleração do mercado.
Muitos especialistas em leis de fusões disseram anteriormente que o Twitter tinha o argumento legal mais forte no caso. Especialistas também disseram que o sucesso do argumento de Musk sobre bots provavelmente se resume a quão perto o juiz do Delaware Chancery Court quer focar o caso na linguagem específica do contrato – que não menciona bots – versus permitir os argumentos mais tangenciais do bilionário.
Mas a nova revelação pode ajudar a reforçar o argumento de Musk e potencialmente encorajar o tribunal a prestar mais atenção à questão dos bots.
Além disso, a equipe jurídica de Musk poderia tentar aproveitar outras alegações do relatório não relacionadas aos bots – incluindo alegações de que o Twitter fez declarações falsas a reguladores como a Federal Trade Commission (FTC) e a Securities and Exchange Commission (SEC) sobre suas práticas de privacidade e segurança – como razões adicionais que ele deveria ser capaz de sair do negócio.
“Durante anos, em muitas declarações públicas e registros [da SEC], o Twitter fez deturpações e omissões materiais […] em relação à segurança, privacidade e integridade”, afirma Zatko no documento. “As deturpações do Twitter são especialmente impactantes, uma vez que estão diretamente em questão na aquisição da empresa por Elon Musk”.
Zatko, mais conhecido como “Mudge”, é um proeminente hacker ético que se tornou executivo de segurança cibernética, cuja carreira também inclui trabalhos no Google e no Departamento de Defesa. Ele foi contratado como líder de segurança do Twitter após uma grande invasão hacker na empresa em 2020 e demitido em janeiro deste ano, uma medida que ele afirma ter ocorrido depois que ele tentou denunciar internamente deficiências de segurança e suposta possível fraude pelos líderes seniores da empresa.
Seu relatório retrata uma empresa repleta de vulnerabilidades de segurança que ameaçam os dados dos usuários e a funcionalidade da plataforma, e que, segundo ele, podem colocar em risco a segurança nacional dos EUA.
Zatko também alega que os principais executivos do Twitter enganaram usuários, reguladores e até mesmo o próprio conselho da empresa sobre as condições da segurança da informação da plataforma. “Por favor, abra uma investigação sobre violações legais do Twitter”, afirma o documento.
Um porta-voz do Twitter disse em um comunicado à CNN em resposta à divulgação de que Zatko foi demitido por “liderança ineficaz e desempenho ruim”.
“O que vimos até agora é uma narrativa falsa sobre o Twitter e nossas práticas de privacidade e segurança de dados, repleta de inconsistências e imprecisões e que falta contexto importante”, disse o porta-voz.
“As alegações do Sr. Zatko e o momento oportunista parecem projetados para chamar a atenção e infligir danos ao Twitter, seus clientes e seus acionistas. Segurança e privacidade têm sido prioridades de toda a empresa no Twitter e continuarão sendo”.
O CEO do Twitter, Parag Agrawal, escreveu na terça-feira um memorando interno aos funcionários, obtido pela CNN, prometendo contestar as alegações no documento de divulgação e buscando tranquilizar os funcionários, chamando as alegações de “frustrantes e confusas de ler”.
Embora a divulgação possa afetar a posição do Twitter com reguladores, usuários e até mesmo seu conselho de administração, um dos impactos imediatos mais urgentes pode estar no caso contra Musk.
Depois que Musk, no mês passado, decidiu rescindir o acordo alegando que o Twitter deturpou o número de bots na plataforma e não forneceu informações para ajudá-lo a avaliar o problema, o Twitter entrou com uma ação acusando-o de usar bots como pretexto para sair do acordo. O Twitter pediu a um tribunal para obrigar Musk a cumprir o acordo, e o caso deve ir a julgamento no Delaware Chancery Court em outubro.
Na terça-feira, após a divulgação de Zatko, o advogado de Musk, Alex Spiro, disse que a equipe jurídica do bilionário já havia intimado Zatko na disputa com o Twitter. “Encontramos a saída dele e a de outros funcionários-chave curiosos à luz do que descobrimos”, disse Spiro à CNN.
As apostas da disputa legal e qualquer impacto que as últimas divulgações tenham sobre ela não poderiam ser maiores para o Twitter.
A empresa está lutando para concluir um acordo para ser adquirida a um preço significativamente maior do que sua avaliação de mercado atual, ou então garantir uma taxa de quebra de contrato de bilhões de dólares de Musk, e fazê-lo o mais rápido possível para evitar uma nuvem prolongada de incerteza para seu negócio.
Mesmo antes do envolvimento de Musk, o Twitter vinha lutando para expandir sua base de usuários e expandir seus negócios de publicidade.
Zatko disse à CNN que sua divulgação não está relacionada à aquisição, que ele não tem relacionamento pessoal com Musk e que começou a documentar as preocupações que se tornariam seu relatório antes que houvesse qualquer indicação do envolvimento de Musk com o Twitter.
Zatko diz que detém como parte de seu portfólio de ações mais amplo, que inclui ações em várias empresas individuais, uma pequena quantidade de ações da Tesla adquiridas nos últimos 10 anos, bem como uma participação um pouco maior no Twitter, porque seu plano de compensação no trabalho incluía ações. Ele disse à CNN que não planeja tocar em nenhum dos dois investimentos durante o processo.
Zatko começou a documentar suas preocupações sobre declarações enganosas feitas ao conselho do Twitter sobre segurança em dezembro; Musk relatou pela primeira vez sua grande participação no Twitter em 4 de abril, antes de concordar em adquiri-lo no final daquele mês.
‘Sem apetite’ para medir corretamente os bots
Em fevereiro de 2019, o Twitter anunciou que começaria a usar uma nova métrica para quantificar o tamanho de seu público quando a empresa divulgasse seus resultados financeiros a cada trimestre.
A empresa, que enfrentava um declínio no número de usuários havia vários trimestres, disse que deixaria de divulgar usuários ativos mensais – uma métrica comumente usada por empresas de mídia social – para relatar usuários ativos diários monetizáveis (mDAU, na sigla usada em inglês), uma medida do número de usuários reais que poderiam ver um anúncio na plataforma.
“Nosso objetivo não era divulgar apenas o maior número de usuários ativos diários que pudéssemos”, disse o Twitter em uma carta aos acionistas na época, acrescentando que achava que a nova métrica daria aos anunciantes uma melhor noção do valor dos anúncios colocados no plataforma.
A métrica também significava que os números de usuários que o Twitter informava aos acionistas – muitas vezes um fator determinante para o preço das ações de uma empresa – seriam menos propensos a flutuar se, por exemplo, a empresa removesse uma grande rede de bots composta por muitas contas.
Desde a mudança, o Twitter informou que contas falsas e spam representam menos de 5% dos mDAUs, um número que repetiu em sua luta com Musk e que o bilionário questionou. O Twitter reconheceu nos arquivos da SEC que o número depende de um julgamento significativo que pode não refletir a realidade com precisão.
Musk disse inicialmente em maio que seu acordo para comprar o Twitter estava “em espera” e parecia perguntar sobre a prevalência de bots como porcentagem do total de usuários. Agrawal respondeu em um tweet vários dias depois, reiterando o cálculo do Twitter de que contas falsas e spam representam menos de 5% dos mDAUs e defendendo a medição da empresa.
Na divulgação, Zatko afirma que Agrawal estava efetivamente respondendo a uma pergunta diferente da que Musk estava perguntando, acrescentando que a maioria dos usuários e acionistas regulares do Twitter pode não perceber ou entender a distinção entre bots como porcentagem do total de usuários e bots como porcentagem de mDAU.
O Twitter, afirma Zatko, na verdade considera os bots como parte de uma categoria de milhões de usuários “não monetizáveis” que a empresa não reporta. O número de bots de 5% que o Twitter compartilha publicamente é essencialmente uma estimativa, com base na análise humana, do número de bots que entram na contagem automatizada da empresa de usuários ativos diários monetizáveis, afirma a divulgação.
Portanto, embora o número de 5% de bots de mDAU do Twitter possa ser útil para indicar aos anunciantes o número de contas falsas que podem ver, mas não podem interagir com seus anúncios, o relatório alega que isso não reflete o escopo completo de contas falsas e spam na plataforma.
A equipe executiva, o conselho, os acionistas e os usuários merecem uma resposta honesta sobre o que estão consumindo em termos de dados, informações e conteúdo na plataforma
O relatório também aponta para outro tweet de Agrawal no tópico de maio, no qual ele afirmou que o Twitter é “fortemente incentivado a detectar e remover o máximo de spam possível, todos os dias”.
Zatko alega que, ao contrário da declaração de Agrawal, os executivos da empresa foram incentivados por pressões comerciais e estruturas de bônus para aumentar os mDAUs e, em alguns casos, fizeram isso às custas de dedicar recursos e atenção para lidar com a quantidade de spam na plataforma.
Zatko diz que começou a perguntar sobre a prevalência de contas de bots no Twitter no início de 2021 e foi informado pelo chefe de integridade do Twitter que a empresa não sabia quantos bots totais existem em sua plataforma. O Twitter disse à CNN que a declaração de Zatko carece de contexto necessário.
Zatko também alega que saiu das conversas com a equipe de integridade com o entendimento de que a empresa “não tinha apetite para medir adequadamente a prevalência de bots”, em parte porque se o número verdadeiro se tornasse público, poderia prejudicar o valor e a imagem da empresa.
Os sistemas do Twitter para medir e remover bots também consistem em “principalmente scripts simples, não monitorados e desatualizados, além de equipes humanas sobrecarregadas, ineficientes, com falta de pessoal e reativas”, afirma a divulgação.
Especialistas em comportamento inautêntico online dizem que pode ser difícil quantificar bots porque não há uma definição amplamente aceita do termo, porque, às vezes, os humanos podem estar por trás de contas falsas e de spam e porque os maus atores mudam constantemente de tática.
Há também muitos bots bons no Twitter, como contas automatizadas que twittam atualizações sobre o clima ou notícias, e a plataforma oferece rótulos opt-in para que essas contas se identifiquem para os usuários. Mas Zatko diz que acha que ainda haveria valor em tentar medir melhor a escala total de spam, contas automatizadas falsas ou prejudiciais na plataforma.
“A equipe executiva, o conselho, os acionistas e os usuários merecem uma resposta honesta sobre o que estão consumindo em dados, informações e conteúdo na plataforma”, disse ele à CNN em uma entrevista no início deste mês.
“Toda a sua percepção do mundo é feita a partir do que você está vendo, lendo e consumindo online. E se você não tem uma compreensão do que é real, do que não é… sim, acho que isso é bastante assustador”.
O Twitter diz que permite bots em sua plataforma, mas suas regras proíbem aqueles que se envolvem em spam ou manipulação de plataforma. Mas, como acontece com as regras de todas as plataformas de mídia social, o desafio geralmente está em aplicar essas políticas.
A empresa diz que desafia, suspende e remove regularmente contas envolvidas em spam e manipulação de plataforma, incluindo normalmente a remoção de mais de um milhão de contas de spam por dia.
O Twitter confirmou que o número de contas de spam como porcentagem do mDAU é diferente do número total de contas falsas e spam na plataforma. Mas a empresa acrescentou que acredita que o número total não seria útil porque poderia incluir contas nas quais o Twitter já tomou medidas e não acredita que poderia pegar todas essas contas e, portanto, o número seria uma contagem mínima.
No documento, Zatko alega que, sem mais contexto, é difícil entender completamente os números que o Twitter relata sobre a remoção de spam e contas falsas. O relatório questiona se o número “é muito ou pouco, para uma plataforma tão vasta como o Twitter? Ninguém sabe porque não há denominador previsto para o contexto”.
O Twitter não respondeu a uma solicitação para fornecer o número total de contas na plataforma ou o número médio de contas adicionadas diariamente, como contexto em torno do número de remoção de bots.
Bots podem não ser o único problema
Grande parte da disputa entre o Twitter e Musk se concentrou em bots – uma questão que especialistas jurídicos disseram que pode não ser material para o acordo, mesmo que o Twitter tenha deturpado os números. Mas após a divulgação, a equipe jurídica de Musk também pode optar por se concentrar em algumas das outras alegações sérias feitas por Zatko.
Por exemplo, o relatório de Zatko alega que o Twitter tem práticas de segurança negligentes e falta de planos de emergência, o que pode ameaçar derrubar os servidores que mantêm a plataforma funcionando, potencialmente permanentemente – um evento chamado “Cisne Negro”, que ele afirma quase ter ocorrido na primavera de 2021.
“O Twitter deturpou consistentemente nos registros da SEC sua capacidade de se recuperar mesmo de uma breve interrupção de apenas alguns data centers”, de acordo com o relatório. O documento faz referência aos fatores de risco que a empresa lista em seu relatório anual, que afirma ter um “programa de recuperação de desastres” em caso de danos em seus data centers. Zatko alega que o programa de recuperação pode não ser “funcional o suficiente” para evitar um evento de Cisne Negro.
O Twitter não respondeu a perguntas específicas sobre o risco de interrupções no data center, mas disse que investe continuamente em suas equipes e tecnologia para garantir a segurança da plataforma.
E uma fonte familiarizada ao assunto disse à CNN que a plataforma tinha sistemas para lidar com riscos relacionados à privacidade, segurança e saúde por anos antes de Zatko ingressar na empresa, e que continuaram desde sua saída.
O documento também alega que o Twitter está violando uma ordem de consentimento de 2011 que resultou de uma ação da Federal Trade Commission, na qual a empresa prometeu limpar seu ato em relação a segurança e privacidade de dados do usuário. Zatko afirma que, apesar de suas alegações em contrário, os executivos do Twitter estão cientes de que a empresa “nunca cumpriu” a ordem.
O Twitter disse que está em conformidade com as regras de privacidade relevantes e que tem sido transparente com os reguladores sobre seus esforços para corrigir quaisquer deficiências em seus sistemas.
O documento também afirma que algumas das deficiências identificadas por Zatko enquanto liderava a segurança da empresa poderiam criar problemas que constituiriam um “efeito material adverso”, um termo legal para uma mudança nas circunstâncias de uma empresa que reduziria significativamente seu valor, e o tipo de risco que poderia dar a Musk maior influência para deixar o acordo.
O relatório aponta para uma seção do acordo de fusão entre Twitter e Musk em que a empresa afirmou que não “infringe, se apropria indevidamente ou de outra forma viola quaisquer Direitos de Propriedade Intelectual de qualquer outra Pessoa” de uma forma que constitua um evento adverso relevante.
No entanto, o documento divulgado alega que o Twitter não conseguiu obter as licenças apropriadas para os dados que usa para treinar sua inteligência artificial – que é usada em recursos importantes do Twitter, como o algoritmo em que se baseia para classificar os tweets que os usuários veem.
“A liderança sênior do Twitter sabe há anos que a empresa nunca teve as licenças adequadas para os conjuntos de dados e/ou software usados para construir alguns dos principais modelos de Machine Learning usados para executar o serviço”, afirma a divulgação.
O acordo de aquisição define um efeito adverso relevante como uma mudança ou evento que tenha ou resultaria em dano material aos “negócios, condição financeira ou resultados das operações do Twitter”, com várias exceções, incluindo aquelas causadas por condições econômicas ou políticas e “atos de Deus”, como terrorismo, ataques cibernéticos ou violações de dados.
Provavelmente caberia a um tribunal decidir exatamente quais questões se enquadrariam nessa classificação. Mas a divulgação alega que o litígio por qualquer um dos proprietários da propriedade intelectual usada para treinar a inteligência artificial do Twitter pode resultar em “danos monetários maciços” ao Twitter ou em uma liminar que pode afetar sua capacidade de operar produtos-chave, que alega poder constituir um efeito material adverso.
“A menos que as circunstâncias tenham mudado desde que Mudge foi demitido em janeiro, a operação contínua do Twitter de muitos de seus produtos básicos é provavelmente ilegal”, alega o documento.
O Twitter não respondeu a perguntas sobre a alegação de que não possui os direitos de propriedade intelectual adequados para os dados usados para treinar sua inteligência artificial.
