Escándalo de datos en Twitter

Bufete de abogados de derecho informático y de protección de datos en Colonia, Kerpen y Witten

Derecho informático y de protección de datos | rápido, fiable y especializado

Escándalo de los datos de Twitter / Se publican los datos de 5,4 millones de usuarios

Bufete de abogados de derecho informático y de protección de datos en Colonia, Kerpen y Witten

Abogado para - Derecho laboral | Derecho penal | Derecho informático | Protección de datos

Desde mediados del año 2022, aproximadamente, se ha hecho público. Aproximadamente 5,4 millones de datos de usuarios de Twitter de particulares y empresas, incluyendo números de teléfono, direcciones de correo electrónico y otros datos sensibles relativos a personas individuales, fueron capturados por un hacker e incluso compartidos públicamente. El hacker accedió a estos datos sensibles y personales de los usuarios de la red social Twitter a través de una interfaz insegura, la API, que aparentemente estaba desactualizada y erróneamente no actualizada por el operador de la plataforma. Aunque Twitter anunció a principios de año, en enero de 2022, que esta interfaz había sido "arreglada", también admitió que había sido explotada anteriormente.

En un principio, el hacker intentó vender los datos de los usuarios de Twitter capturados en un foro por 30.000 dólares en julio de este año, pero luego los compartió públicamente en Internet. En detalle, el problema de este escándalo de los datos de Twitter fue probablemente que los números de teléfono y las direcciones de correo electrónico podían ser probados al azar a través de la mencionada API de Twitter con el fin de averiguar posteriormente el correspondiente y coincidente ID de Twitter. De este modo, el hacker responsable pudo asignar estos datos de usuario de Twitter en detalle a un ID de Twitter, es decir, a la cuenta de Twitter, el año pasado.

También se sabe que otros datos de usuarios de Twitter fueron intercambiados o compartidos en redes cerradas, pero no en qué medida. Sin embargo, es de suponer que muchos más usuarios de la red social Twitter están afectados por este escándalo de datos y, por tanto, deben temer que sus datos personales y sensibles estén ahora en posesión de redes dudosas con ambiciones delictivas. El robo de bienes, el robo de datos, la suplantación de identidad o incluso el saqueo de cuentas bancarias amenazan a los afectados en el peor de los casos, por lo que es aconsejable obtener la certeza mediante la contratación de un abogado de si los datos personales han sido intervenidos y, en caso afirmativo, tomar medidas contra ellos.

Escándalo de datos de Twitter, filtración de datos de Twitter, datos de usuarios de Twitter, Twitter, scraping, abogado de protección de datos, abogado de protección de datos Kerpen, abogado de protección de datos Colonia, abogado de protección de datos Witten

¿Qué datos/conjuntos de datos de los usuarios de Twitter se capturaron?

Datos de usuarios de Twitter capturados

En concreto, se trata de los siguientes datos de usuarios de Twitter:

  • Direcciones de correo electrónico privadas
  • Números de teléfono privados
  • IDs de Twitter
  • Los nombres completos de los usuarios de Twitter
  • Nombres de cuentas de usuarios de Twitter
  • Estados de verificación de los usuarios
  • Residencia de los usuarios
  • La URL asociada al perfil
  • Número de amigos de los usuarios de Twitter
  • Listas de favoritos del usuario
  • URLs de las fotos de perfil de los usuarios

¿Qué es el raspado?

Definición de raspado

El scraping, también conocido como screen scraping o web scraping, es una función en la que se lee y almacena información de un sitio web o de servicios en línea, por ejemplo, plataformas de medios sociales, con la ayuda de un script. Google también utiliza estos métodos con la ayuda de bots, por ejemplo, que "rastrean" los sitios web para indexarlos después. En su mayor parte, esta práctica también beneficia a los operadores de los sitios web y las plataformas, ya que con esta indexación se pueden conseguir más ventas o un mayor alcance. Sin embargo, el raspado también puede causar grandes daños si se utiliza mal.

En el caso del publicitado escándalo del scraping de Facebook, los atacantes se aprovecharon de una función de la plataforma con la que los usuarios podían subir su agenda telefónica para que se crearan o identificaran amigos y conocidos directamente en el perfil. En este caso, los atacantes utilizaron esta función de importación de contactos para recuperar conjuntos de perfiles de usuarios y utilizar los datos sensibles que habían recibido para datos personales extraer a través del perfil público.

¿Es ilegal el raspado en sí mismo?

El "scraping" de datos de acceso público no es ilegal por definición, siempre que no haya que superar ningún dispositivo técnico de protección. Sin embargo, lo que se hace posteriormente con los datos obtenidos tampoco es baladí. Si, por ejemplo, se intervienen imágenes, artículos u otros conjuntos de datos y se publican después sin permiso, se trata de una clara violación de la ley de derechos de autor. También hay que mencionar que el uso de estos registros de datos en campañas de phishing es también una clara violación de la ley.

Sin embargo, en este contexto, la situación se vuelve precaria para el operador de la plataforma o del sitio web, ya que, según la GDPR Directrices inequívocas y claras sobre la recogida y el almacenamiento de datos personales tiene que cumplir. Debe haber una razón legítima por parte del operador o se requiere el consentimiento expreso del usuario para recoger y almacenar los datos personales sensibles del usuario. Además, esto sólo puede hacerse en la medida necesaria para cumplir la función prevista. es necesario y ya no. Además, muchos operadores de redes sociales excluyen el scraping desde el principio en sus condiciones.

Otras dramáticas filtraciones de datos y escándalos de datos en Twitter en el pasado

Otros incidentes en el pasado

Supuestamente, en el pasado se produjo una filtración de datos mucho más amplia relativa a los datos de los usuarios de Twitter robados. Se trata de más de 17 millones de cuentas de usuario y los datos personales sensibles asociados, que han entrado en circulación en los círculos de hackers.

Ya en 2016 se supo a través de Twitter que al menos 32 millones de cuentas de Twitter y sus contraseñas asociadas habían sido capturadas por un hacker que intentaba vender estos datos de acceso en la darknet en ese momento. En ese momento, los conjuntos de datos completos robados incluían correos electrónicos, nombres de usuario y las correspondientes contraseñas. En ese momento, Twitter no tuvo más remedio que bloquear todas las cuentas de los usuarios afectados hasta que restablecieran sus contraseñas y crearan otras nuevas tras notificar por separado el incidente al operador. También en este caso quedaba la duda de quién era el responsable de este caso o de esta brecha de seguridad por parte del operador de la plataforma.

¿Por qué un escándalo de datos en Twitter supone un riesgo para los afectados?

Riesgo para los posibles perjudicados

El peligro para la persona cuyos datos personales han sido capturados en un escenario así es que los registros de datos capturados ilegalmente pueden ser distribuidos a otros terceros o compartidos con ellos. Estos terceros podrían utilizar los datos personales de un usuario, por ejemplo los números de teléfono y la dirección de correo electrónico, para realizar ataques de suplantación de identidad o incluso, en el peor de los casos, para robar la identidad en Internet.

¿Qué es el phishing?

Definición del término phishing

Phishing es un término derivado del inglés "fishing", que describe el intento de un atacante de obtener datos personales mediante el envío de correos electrónicos de spam, sitios web falsos o mensajes directos al teléfono móvil de la víctima. Este método tiene como objetivo cometer robos de bienes, robos de datos, robos de identidad y, como peor consecuencia, incluso el saqueo de la cuenta de la persona afectada con la ayuda de los datos obtenidos / capturados de la víctima. Muchos atacantes también utilizan los datos de la víctima, por ejemplo, para obtener el control de PayPal, eBay o Amazon y así realizar compras a costa de la víctima.

El phishing suele ser muy general por parte de los atacantes, lo que puede reconocerse fácilmente por la redacción de los "correos electrónicos de phishing". Sin embargo, también existe una forma más sofisticada de phishing, el llamado "spear phishing". En este método, los mensajes enviados a la víctima se personalizan utilizando datos ya leídos sobre la víctima para crear la impresión de un mensaje real.

Por lo tanto, siempre es aconsejable ser escéptico ante cualquier tipo de mensaje que le llegue solicitando información personal.

Escándalo de datos de Twitter, filtración de datos de Twitter, datos de usuarios de Twitter, Twitter, scraping, abogado de protección de datos, abogado de protección de datos Kerpen, abogado de protección de datos Colonia, abogado de protección de datos Witten

¿Cuáles son las obligaciones de Twitter y constituye esto un incumplimiento del GDPR?

Obligaciones legales de Twitter según el Art. 5. DSGVO y el Art. 25. DSGVO

Claramente, sí. Porque según la jurisprudencia establecida y el actual Reglamento General de Protección de Datos (GDPR), el operador de la red social, es decir, en este caso Twitter, es responsable de tomar y aplicar las medidas de seguridad adecuadas para evitar que los datos personales sensibles de los usuarios de Twitter sean leídos y almacenados de la forma ya descrita, mediante el scraping. Según la GDPR, Artículo 25(1) y (2)El operador responsable, Twitter, tiene la obligación de Adoptar medidas de carácter técnico y organizativo para garantizar que los datos personales no se divulguen a terceros. no puede ponerse a disposición de un número indeterminado de personas físicas sin la intervención de la persona.

Además, esta mala conducta de la red social Twitter constituye una violación de la Artículo 5. apartado 1e, así como apartado 1f, del GDPR constituyen. Estos "Principios del Tratamiento de Datos Personales" establecen que los datos personales sólo pueden ser tratados si se puede garantizar que son identificables únicamente para los fines y el periodo de tratamiento y no de forma continuada, esto se hace para proteger los derechos y libertades de los interesados y sólo pueden romperse con fines de interés público, de archivo, de investigación científica e histórica, así como con fines estadísticos. 

Artículo 5. párrafo 1f del GDPR establece que el encargado del tratamiento debe velar por que los datos personales sensibles almacenados se archiven y almacenen de forma que se garantice la protección contra el tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción accidental o el daño accidental al interesado.

¿Qué derechos tengo como interesado? ¿Compensación?

Afirmación de las reclamaciones de la parte perjudicada

Como posible afectado por este escándalo de datos de Twitter, todo el mundo tiene la posibilidad de Artículo 15 del RGPD para hacer valer un derecho de acceso contra los twitteros. Por lo tanto, un sujeto de datos puede, después de Artículo 15 del RGPD exigir información a Twitter sobre si él, y por tanto también sus datos sensibles almacenados, están afectados por la filtración de datos. Si Twitter no proporciona ninguna información o sólo la proporciona de forma incompleta a este respecto, el interesado tendrá derecho a reclamar daños y perjuicios de acuerdo con las siguientes disposiciones. Art. 82 GDPRque este último puede hacer valer contra Twitter.

Y es que en muchos de estos casos similares, como el escándalo de los datos de Facebook o el de WhatsApp, los tribunales alemanes ya han concedido a los demandantes elevadas reclamaciones por daños y perjuicios basadas en los datos obtenidos del escándalo de los datos de Facebook. Art. 82 GDPR la reclamación de daños y perjuicios resultante. Una de las razones es que estas reclamaciones resultantes de Infracciones del GDPR Las cantidades resultantes de los daños y perjuicios pretenden tener un efecto disuasorio en los operadores de plataformas y sitios web para que el Reglamento General de Protección de Datos aplicable, GDPR, siga siendo observado y cumplido, especialmente por ellos.

En cuanto a la reclamación de daños y perjuicios como persona afectada por el escándalo de los datos de Twitter, es, sin embargo, indispensable buscar apoyo legal para la ejecución de sus reclamaciones en forma de un abogado experto en derecho de la protección de datos. Porque en una disputa legal de este tipo con una gran corporación como Twitter, sólo sería negligente y no conducente al objetivo intentar esto por su cuenta si quiere tener éxito.

Extracto del artículo 82 de la DSGVO

Escándalo de datos de Twitter, filtración de datos de Twitter, datos de usuarios de Twitter, Twitter, scraping, abogado de protección de datos, abogado de protección de datos Kerpen, abogado de protección de datos Colonia, abogado de protección de datos Witten

¿Qué requisitos deben cumplirse para reclamar una indemnización por daños y perjuicios en virtud del artículo 82 del RGPD?

Requisitos previos para hacer valer la reclamación de daños y perjuicios

En primer lugar, tras recibir información detallada del responsable del tratamiento, en este caso Twitter, se debe examinar intensamente si existe un posible incumplimiento de los "principios para el tratamiento de datos personales", art. 5(1) DSGVO. Es relevante si es evidente que la empresa responsable del tratamiento ha cumplido los siguientes criterios. En resumen, se comprueba la legalidad, el tratamiento justo, la transparencia, la limitación de la finalidad, el cumplimiento de la minimización de los datos y la limitación del almacenamiento, así como la exactitud, la integridad y la confidencialidad de la información proporcionada. Si esta comprobación por parte del abogado revela que los datos del interesado no se han tratado de acuerdo con el GDPR, la cosa pinta muy mal para la empresa.

También hay que mencionar aquí que si Twitter no cumple con la solicitud de información en detalle o en un plazo de 4 semanas, esto también conduce a una violación del GDPR y, por lo tanto, justifica una reclamación de daños y perjuicios por parte de la persona que busca la información por ley.

Además, el daño debe cuantificarse posteriormente si se establece que existe una reclamación por daños y perjuicios. En el caso de los daños materiales, esto es bastante sencillo, ya que la otra parte está obligada a pagar el importe total de los daños. Sin embargo, en el caso de los daños inmateriales es algo más complicado, ya que en la mayoría de los casos se establece un importe fijo de 5.000 euros, salvo que exista un supuesto que justifique una cantidad superior. 

Sin embargo, también hay que mencionar que en el pasado ya se han producido pagos de indemnizaciones por valor de 6.500,00 EUR - 12.500,00 EUR debido a la correspondencia por correo electrónico no cifrada entre empresas y consumidores, así como al envío no autorizado de boletines a personas que no habían consentido su recepción / inclusión en la lista de distribución.

Por lo tanto, se puede suponer que debido a la prueba de esta violación de datos y la admisión de las insuficientes medidas de seguridad de la empresa Twitter, que se ha difundido en los medios de comunicación, es muy posible que se reclamen cantidades mucho más altas, más allá de 5000,00 euros.

¿Cómo podemos, como bufete de abogados de protección de datos, ayudar al interesado?

Afirmación de las reclamaciones de la parte perjudicada

Nuestra tarea es ayudar a los interesados a ejercer sus derechos. En primer lugar, de acuerdo con el artículo 15 del GDPR, exigimos que Twitter nos informe de todos los datos personales tratados sobre nuestro cliente, así como la prueba de que estos datos no han sido accedidos o almacenados por una persona no autorizada.

Si esta información no se facilita, constituye un incumplimiento del deber de conformidad con el artículo 5 (1) de la DGSVO o está incompleta, incluso en parte, formularemos una reclamación por daños y perjuicios lo más elevada y realista posible con nuestro cliente lo antes posible de conformidad con el artículo 82 de la DSGVO. Posteriormente, intentaremos primero llegar a un acuerdo extrajudicial con la otra parte, la empresa Twitter, y si esta medida fracasa, presentaremos una demanda contra Twitter ante el tribunal competente.

Ejemplos de casos similares en WhatsApp y Facebook

Ejemplos de casos similares en WhatsApp y Facebook

Un ejemplo de casos similares al de Twitter es el de Facebook, empresa del Grupo Meta, donde millones de datos de cuentas de usuarios de la plataforma de medios sociales también aparecieron en un foro de hackers debido a una filtración de datos en la primavera de 2021. Este incidente causó furor y, al mismo tiempo, una verdadera ola de demandas por parte de los afectados. 

El 14 de septiembre de 2022, el Tribunal Regional de Zwickau adoptó una decisión histórica en relación con este tipo de incidentes, ya que concedió al demandante, una parte perjudicada, cuyos datos fueron desviados y extraídos de forma demostrable en este caso, y condenó a Facebook a pagar 1.000 euros en concepto de daños y perjuicios en este procedimiento. El razonamiento para esta decisión fue que el usuario había sufrido un daño inmaterial en el sentido del Reglamento General de Protección de Datos europeo (AZ: 7 O 334/22), ya que la empresa sólo había protegido inadecuadamente estos datos sensibles de los ataques de los hackers. Un claro ejemplo y prueba de que los consumidores pueden defenderse definitivamente de estos abusos por parte de las grandes empresas.

¿Qué papel juega el seguro de defensa jurídica en este caso?

Seguro y cobertura de defensa jurídica

Básicamente, hay que decir que si el interesado desea hacer valer su reclamación de daños y perjuicios a través de un abogado, estará mejor en cuanto al riesgo de costes si ha contratado un seguro de defensa jurídica. Si no es así, el interesado debe correr con los gastos de contratación de un abogado para examinar la reclamación de daños y perjuicios y, posteriormente, hacerla valer extrajudicialmente y ante los tribunales. 

También debe mencionarse aquí que, en el mejor de los casos, el cliente hace una solicitud de cobertura a su compañía de seguros de defensa jurídica presentando los hechos del caso y pidiendo que se cubran los costes de contratación de un abogado incluso antes del primer contacto con el abogado. En el mejor de los casos, la aseguradora de defensa jurídica incluso aceptará cubrir los gastos del abogado. Esto acelera enormemente el proceso de tramitación rápida del mandato para el abogado, ya que así puede dedicarse exclusiva y concentradamente a los hechos jurídicos del caso. 

¿Cómo procede un bufete de protección de datos en un caso así?

Enfoque procesal de la reclamación

¿Necesita ayuda de un abogado para la ley de protección de datos contra Twitter?

Entonces, póngase en contacto con nosotros

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Bufete de abogados de derecho informático y de protección de datos en Colonia, Kerpen y Witten

Abogado para - Derecho laboral | Derecho penal | Derecho informático | Protección de datos

es_ESEspañol