Скандал с данни в Twitter

Адвокатска кантора за ИТ и защита на данните в Кьолн, Керпен и Витен

Право в областта на информационните технологии и защитата на данните | бързо, надеждно и специализирано

Скандал с данни в Twitter / публикувани са данни за 5,4 милиона потребители

Адвокатска кантора за ИТ и защита на данните в Кьолн, Керпен и Витен

Адвокат за - трудово право | наказателно право | ИТ право | защита на данните

От около средата на 2022 г. тя става публична. Приблизително 5,4 милиона потребителски данни на частни лица и компании в Twitter, включително телефонни номера, имейл адреси и други чувствителни данни, свързани с отделни лица, бяха заловени от хакер и дори споделени публично. Хакерът е получил достъп до тези чувствителни и лични данни на потребителите на социалната мрежа Twitter чрез несигурен интерфейс, API, който очевидно е бил остарял и погрешно не е бил актуализиран от оператора на платформата. Въпреки че в началото на годината, през януари 2022 г., Twitter обяви, че този интерфейс е "поправен", той също така призна, че е бил използван и преди.

Първоначално хакерът се е опитал да продаде заловените данни за потребителите на Twitter във форум за 30 000 долара през юли тази година, но след това ги е споделил публично в интернет. В детайли проблемът с този скандал с данни от Twitter вероятно е, че телефонните номера и имейл адресите могат да бъдат изпробвани на случаен принцип чрез гореспоменатия Twitter API, за да се открие впоследствие съответният, съвпадащ идентификационен номер в Twitter. По този начин отговорният хакер е успял да присвои подробно тези данни за потребителите на Twitter към идентификатор на Twitter, т.е. акаунт в Twitter, през миналата година.

Известно е също така, че други данни на потребители на Twitter са били обменяни или споделяни в затворени мрежи, но не и в каква степен. Въпреки това може да се предположи, че много повече потребители на социалната мрежа Twitter са засегнати от този скандал с данните и следователно трябва да се страхуват, че техните чувствителни лични данни вече са притежание на съмнителни мрежи с престъпни амбиции. В най-лошия случай засегнатите лица са заплашени от кражба на имущество, кражба на данни, кражба на самоличност или дори разграбване на банкови сметки, така че е препоръчително да се получи сигурност чрез наемане на адвокат дали личните данни са били подслушвани и, ако това е така, да се предприемат действия срещу тях.

Скандал с данни в Twitter, Изтичане на данни в Twitter, Данни за потребителите на Twitter, Twitter, Скрепиране, Адвокат по защита на данните, Адвокат по защита на данните Керпен, Адвокат по защита на данните Кьолн, Адвокат по защита на данните Витен

Кои данни за потребителите на Twitter са били уловени?

Уловени данни за потребителите на Twitter

По-конкретно става въпрос за следните данни за потребителите на Twitter:

  • Лични имейл адреси
  • Частни телефонни номера
  • Идентификатори на Twitter
  • Пълните имена на потребителите на Twitter
  • Имена на акаунти на потребители на Twitter
  • Статус на проверка на потребителите
  • Местожителство на потребителите
  • URL адресът, свързан с профила
  • Брой приятели на потребителите на Twitter
  • Списъци с любими продукти на потребителя
  • URL адреси към профилните снимки на потребителите

Какво представлява остъргването?

Определение за остъргване

Скрепинга, често наричан още скрининг на екрана или уебскрепинг, е функция, при която информацията от уебсайт или онлайн услуги, например платформи на социални медии, се прочита и съхранява с помощта на скрипт. Google използва такива методи и с помощта на ботове, които например "обхождат" уебсайтове, за да ги индексират впоследствие. В по-голямата си част тази практика, разбира се, е в интерес и на операторите на уебсайтове и платформи, тъй като чрез такова индексиране могат да се постигнат повече продажби или по-голям обхват. Въпреки това остъргването може да причини големи щети, ако се използва неправилно.

В случая с широко оповестения скандал с изстъргването на данни от Facebook нападателите са се възползвали от функция на платформата, с помощта на която потребителите са могли да качат своя телефонен указател, така че приятелите и познатите да бъдат създадени или идентифицирани директно в профила. В този случай нападателите са използвали точно тази функция за импортиране на контакти, за да извличат набори от потребителски профили и да използват получените чувствителни данни за собствени цели. лични данни извлечете чрез публичния профил.

Незаконно ли е самото остъргване?

"Извличането" на публично достъпни данни не е незаконно по дефиниция, стига да не се налага да се преодоляват технически средства за защита. Не е без значение обаче и това, което се прави впоследствие с получените данни. Ако например снимки, статии или други масиви от данни се използват и след това се публикуват без разрешение, това е явно нарушение на закона за авторското право. Трябва да се спомене също, че използването на тези записи на данни във фишинг кампании също е явно нарушение на закона.

В този контекст обаче операторът на платформата или уебсайта става несигурен, тъй като според GDPR Недвусмислени и ясни насоки относно събирането и съхранението на лични данни трябва да се съобразява с тях. За да се събират и съхраняват чувствителни лични данни на потребителя, трябва да е налице законна причина от страна на оператора или да се изисква изричното му съгласие. Освен това това може да се прави само в степента, необходима за изпълнение на предвидената функция. е необходимо и вече не е. Освен това много от операторите на социални мрежи изключват изстъргването от самото начало в своите условия.

Други драматични изтичания на данни и скандали с данни в Twitter в миналото

Други инциденти в миналото

Твърди се, че в миналото е имало далеч по-обширно изтичане на данни, свързано с откраднати данни на потребители на Twitter. Става дума за над 17 милиона потребителски акаунта и свързаните с тях чувствителни лични данни, които са влезли в обръщение в хакерските среди.

Още през 2016 г. чрез Twitter стана известно, че поне 32 милиона акаунта в Twitter и свързаните с тях пароли са били заловени от хакер, който по това време се опитва да продаде тези данни за достъп в даркнет. По това време пълните откраднати набори от данни включват имейли, потребителски имена и съответните пароли. По това време Twitter нямаше друг избор, освен да блокира всички засегнати потребителски акаунти, докато те не нулират паролите си и не създадат нови, след като отделно уведоми оператора за инцидента. И в този случай остава съмнително кой е отговорен за този случай или за този пропуск в сигурността от страна на оператора на платформата.

Защо подобен скандал с данни в Twitter представлява риск за засегнатите лица?

Риск за потенциално увредени лица

Опасността за лицето, чиито лични данни са били уловени в такъв случай, е, че незаконно уловените записи на данни могат да бъдат разпространени до други трети страни или да бъдат споделени с тях. Тези трети страни могат да използват личните данни на потребителя, например телефонните номера и имейл адреса, за фишинг атаки или дори, в най-лошия случай, за кражба на самоличност в интернет.

Какво представлява фишингът?

Определение на термина фишинг

Фишингът е термин, произлизащ от английския термин "fishing", който описва опита на нападателя да получи лични данни чрез изпращане на спам имейли, фалшиви уебсайтове или директни съобщения до мобилния телефон на жертвата. Целта на този метод е да се извърши кражба на имущество, кражба на данни, кражба на самоличност и, като най-лошо последствие, дори да се ограби сметката на засегнатото лице с помощта на получените/заловените данни на жертвата. Много нападатели използват данните на жертвата, например за да получат контрол над PayPal, eBay или Amazon и по този начин да извършват покупки за сметка на жертвата.

Обикновено фишингът е много общ от страна на нападателите, което можете лесно да разпознаете по формулировката във "фишинг имейлите". Съществува обаче и по-усъвършенствана форма на фишинг, така нареченият "spear phishing". При този метод съобщенията, изпратени до жертвата, се персонализират, като се използват вече разчетени данни за жертвата, за да се създаде впечатление за истинско съобщение.

Ето защо е препоръчително винаги да се отнасяте скептично към всяка форма на съобщение, в което се иска лична информация.

Скандал с данни в Twitter, Изтичане на данни в Twitter, Данни за потребителите на Twitter, Twitter, Скрепиране, Адвокат по защита на данните, Адвокат по защита на данните Керпен, Адвокат по защита на данните Кьолн, Адвокат по защита на данните Витен

Какви са задълженията на Twitter и представлява ли това нарушение на ОРЗД?

Правни задължения на Twitter в съответствие с чл. 5 DSGVO и чл. 25 DSGVO

Съвсем ясно, да! Тъй като съгласно установената съдебна практика и действащия Общ регламент относно защитата на данните (ОРЗД) операторът на социалната мрежа, т.е. в случая Twitter, е отговорен за предприемането и прилагането на подходящи мерки за сигурност, за да предотврати разчитането и съхраняването на чувствителни лични данни на потребителите на Twitter по описания вече начин - чрез изстъргване. Според ОРЗД, член 25, параграфи 1 и 2отговорният оператор, Twitter, е задължен да да предприеме мерки от техническо и организационно естество, за да гарантира, че личните данни не се разкриват на трети страни. не може да се предоставя на неограничен брой физически лица без намесата на лицето.

Освен това това неправомерно поведение от страна на социалната мрежа Twitter представлява нарушение на Член 5, параграф 1д, както и параграф 1е от ОРЗД представляват. Тъй като в тези "Принципи на обработване на лични данни" се посочва, че личните данни могат да бъдат обработвани само ако може да се гарантира, че те са идентифицируеми само за целите и периода на обработване, а не постоянно, това се прави с цел защита на правата и свободите на субектите на данни и могат да бъдат разбивани само за целите на обществения интерес, за архивни цели, за научни и исторически изследвания, както и за статистически цели. 

Член 5, параграф 1е от ОРЗД гласи, че обработващият лични данни трябва да гарантира, че съхраняваните чувствителни лични данни се подават и съхраняват по такъв начин, че да може да се гарантира защита срещу неразрешено или незаконно обработване, случайна загуба, случайно унищожаване или случайно увреждане на субекта на данните.

Какви права имам като субект на данни? Компенсация?

Предявяване на претенции от страна на пострадалата страна

Като потенциално засегнато лице от този скандал с данните на Twitter всеки има възможност да Чл. 15 от ОРЗД да предяви правото си на достъп срещу Twitters. Следователно субектът на данни може, след като Чл. 15 от ОРЗД да поиска информация от Twitter дали той или тя, а следователно и съхраняваните от него или нея чувствителни данни, са засегнати от изтичането на данни. Ако Twitter не предостави никаква информация или предостави само непълна информация в това отношение, субектът на данните има право да предяви иск за обезщетение в съответствие със следните разпоредби. Чл. 82 от ОРЗДкоито последният може да предяви срещу Twitter.

Факт е, че в много от тези сходни случаи, като скандала с данните на Facebook или скандала с данните на WhatsApp, германските съдилища вече са уважили високите искове на ищците за обезщетение въз основа на данните, получени от скандала с данните на Facebook. Чл. 82 от ОРЗД произтичащата от това претенция за обезщетение. Една от причините за това е, че такива искове, произтичащи от Нарушения на GDPR размерът на обезщетението има за цел да има възпиращ ефект върху операторите на платформи и уебсайтове, така че приложимият Общ регламент за защита на данните (ОРЗД) да продължи да се спазва и изпълнява, особено от тях.

Що се отнася до предявяването на иск за обезщетение като лице, засегнато от скандала с данните в Twitter, е необходимо да потърсите правна помощ за предявяване на претенциите си под формата на адвокат с опит в областта на правото за защита на данните. Тъй като в подобен правен спор с голяма корпорация като Twitter би било само небрежно и не би допринесло за постигането на целта да опитате сами, ако искате да постигнете успех.

Извлечение от чл. 82 от DSGVO

Скандал с данни в Twitter, Изтичане на данни в Twitter, Данни за потребителите на Twitter, Twitter, Скрепиране, Адвокат по защита на данните, Адвокат по защита на данните Керпен, Адвокат по защита на данните Кьолн, Адвокат по защита на данните Витен

Какви изисквания трябва да бъдат изпълнени, за да се претендира обезщетение за вреди по член 82 от ОРЗД?

Предпоставки за предявяване на иск за обезщетение за вреди

На първо място, след получаване на подробна информация от администратора, в случая Twitter, тя трябва да бъде разгледана интензивно за евентуално нарушение на задълженията спрямо "принципите за обработване на лични данни", член 5, параграф 1 от DSGVO. От значение е дали е очевидно, че дружеството, което отговаря за обработката, е изпълнило следните критерии. В обобщение, предоставената информация се проверява за законосъобразност, добросъвестно обработване, прозрачност, ограничаване на целите, спазване на изискванията за минимизиране на данните и ограничаване на съхранението, както и за точност, цялостност и поверителност. Ако тази проверка на адвоката покаже, че данните на субекта на данни не са били обработени в съответствие с ОРЗД, това изглежда изключително лошо за компанията.

Тук трябва да се спомене също така, че ако Twitter не изпълни искането за информация в подробности или в срок от 4 седмици, това също води до нарушение на ОРЗД и по този начин оправдава искането за обезщетение от страна на лицето, което търси информация по закон.

Освен това, ако се установи, че е налице иск за обезщетение, щетите трябва да бъдат определени количествено. В случай на материални щети това е съвсем просто, тъй като другата страна е длъжна да заплати пълния размер на щетите. В случая с неимуществените вреди обаче това е малко по-сложно, тъй като в повечето случаи се определя фиксиран размер от 5000,00 EUR, освен ако не съществува предположение, което би оправдало по-висока сума. 

Следва обаче да се спомене също така, че в миналото вече са били изплащани обезщетения в размер на 6 500,00 EUR - 12 500,00 EUR поради некриптирана електронна кореспонденция между дружества и потребители, както и поради неразрешено изпращане на бюлетини на лица, които не са дали съгласието си за получаване/включване в списъка за разпространение.

Следователно може да се предположи, че поради доказателствата за това нарушение на сигурността на данните и признанието за недостатъчни мерки за сигурност на компанията Twitter, разпространени в медиите, е напълно възможно да се претендира за много по-високи суми от 5000,00 EUR.

Как можем да помогнем на субекта на данни като адвокатска кантора в областта на правото на защита на данните?

Предявяване на претенции от страна на пострадалата страна

Нашата задача е да помогнем на субектите на данни да упражнят правата си. На първо място, в съответствие с член 15 от ОРЗД, изискваме от Twitter да ни информира за всички лични данни, обработвани за нашия клиент, както и доказателство, че тези данни не са били достъпни или съхранявани от неупълномощено лице.

Ако тази информация не е предоставена, представлява нарушение на задължение съгласно член 5, параграф 1 от ДГС или е непълна, дори частично, ние ще формулираме възможно най-високия и най-реалистичен иск за обезщетение с нашия клиент възможно най-бързо съгласно член 82 от ДГС. Впоследствие първо ще се опитаме да постигнем извънсъдебно споразумение с другата страна, компанията Twitter, и ако тази мярка не успее, ще заведем иск срещу Twitter в компетентния съд.

Примери за подобни случаи в WhatsApp и Facebook

Примери за подобни случаи в WhatsApp и Facebook

Пример за случаи, подобни на тези в Twitter, е този във Facebook, компания от Meta Group, където милиони данни за акаунти на потребители на платформата за социални медии също се появиха в хакерски форум поради изтичане на данни през пролетта на 2021 г. Инцидентът предизвика фурор и същевременно истинска вълна от съдебни искове от страна на засегнатите лица. 

На 14 септември 2022 г. Окръжният съд на Цвикау взе знаково решение във връзка с подобни инциденти, като присъди на ищеца, пострадало лице, чиито данни са били доказано изтеглени и извлечени в този случай, и осъди Facebook да плати 1000,00 евро обезщетение в това производство. Решението е мотивирано с това, че потребителят е претърпял неимуществена вреда по смисъла на Общия регламент относно защитата на данните (AZ: 7 O 334/22), тъй като дружеството само е защитило неадекватно тези чувствителни данни от хакерски атаки. Ясен пример и доказателство, че потребителите определено могат да се защитят от подобни злоупотреби от страна на големите корпорации.

Каква е ролята на застраховката за съдебни разноски в този случай?

Застраховка и покритие на правни разноски

По принцип трябва да се каже, че ако засегнатото лице желае да предяви иска си за обезщетение чрез адвокат, то е в по-изгодно положение по отношение на риска от разходи, ако е сключило застраховка за съдебни разноски. В противен случай засегнатото лице трябва да поеме разходите за наемане на адвокат, който да разгледа иска за обезщетение и впоследствие да го предяви по съдебен и извънсъдебен ред. 

Тук трябва да се спомене също, че в най-добрия случай клиентът отправя искане за покриване на разходите до своята застрахователна компания за правни разноски, като представя фактите по делото и иска да бъдат покрити разходите за възлагане на адвокатска защита още преди първия контакт с адвоката. В най-добрия случай застрахователят на правни разноски дори ще се съгласи да покрие разходите на адвоката. Това изключително много ускорява процеса на бърза обработка на пълномощното за адвоката, тъй като по този начин той може да се посвети изключително и съсредоточено на правните факти по делото. 

Как процедира адвокатска кантора за защита на данните в такъв случай?

Процедурен подход към предявяването на искове

Нуждаете ли се от помощ от адвокат по отношение на правото за защита на данните срещу Twitter?

След това се свържете с нас

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Адвокатска кантора за ИТ и защита на данните в Кьолн, Керпен и Витен

Адвокат за - трудово право | наказателно право | ИТ право | защита на данните

bg_BGБългарски