La notizia è stata resa pubblica intorno alla metà del 2022. Un hacker ha catturato e condiviso pubblicamente circa 5,4 milioni di dati di utenti Twitter di privati e aziende, tra cui numeri di telefono, indirizzi e-mail e altri dati sensibili relativi alle persone. L'hacker ha avuto accesso a questi dati sensibili e personali degli utenti del social network Twitter tramite un'interfaccia insicura, l'API, che a quanto pare era obsoleta e non è stata erroneamente aggiornata dall'operatore della piattaforma. Sebbene Twitter abbia annunciato all'inizio dell'anno, nel gennaio 2022, che questa interfaccia era stata "sistemata", ha anche ammesso che era stata sfruttata in precedenza.
Inizialmente, l'hacker ha cercato di vendere i dati degli utenti di Twitter catturati in un forum per 30.000,00 dollari nel luglio di quest'anno, ma successivamente li ha resi pubblicamente disponibili online. In dettaglio, il problema di questo scandalo dei dati di Twitter era probabilmente che la suddetta API di Twitter poteva essere utilizzata per provare casualmente i numeri di telefono e gli indirizzi e-mail al fine di trovare l'ID Twitter corrispondente. In questo modo, l'hacker responsabile è stato in grado di assegnare questi dati degli utenti di Twitter a un ID Twitter, cioè all'account Twitter, in dettaglio l'anno scorso.
Si sa anche che altri dati di utenti di Twitter sono stati scambiati o condivisi in reti chiuse, anche se non se ne conosce l'entità. Tuttavia, si può presumere che molti altri utenti del social network Twitter siano stati colpiti da questo scandalo dei dati e debbano quindi temere che i loro dati sensibili e personali siano ora in possesso di reti dubbie con ambizioni criminali. Furto di proprietà, furto di dati, furto di identità o addirittura saccheggio di conti bancari sono gli scenari peggiori per le persone colpite, per cui è consigliabile rivolgersi a un avvocato per scoprire se i suoi dati personali sono stati violati e, in caso affermativo, per agire contro di essi.
In particolare, sono coinvolti i seguenti dati degli utenti di Twitter:
Lo scraping, spesso definito come screen scraping o web scraping, è una funzione che utilizza uno script per leggere e salvare informazioni da un sito web o da servizi online, ad esempio piattaforme di social media. Google utilizza tali metodi anche con l'aiuto di bot, ad esempio, che "strisciano" i siti web per indicizzarli successivamente. Per la maggior parte, questa pratica è ovviamente anche nell'interesse degli operatori di siti web e piattaforme, in quanto tale indicizzazione può aumentare le vendite o la portata. Tuttavia, lo scraping può anche causare grandi danni se viene utilizzato in modo improprio.
Nel caso dello scandalo di scraping di Facebook, molto pubblicizzato, gli aggressori hanno sfruttato una funzione della piattaforma che permetteva agli utenti di caricare la propria rubrica telefonica, in modo da creare o identificare amici e conoscenti direttamente nel profilo. In questo caso, gli aggressori hanno utilizzato questa funzione di importazione dei contatti per recuperare set di profili utente e rubare i dati sensibili ottenuti. dati personali tramite il profilo pubblico.
Lo 'scraping' di dati accessibili pubblicamente non è illegale per definizione, a patto che non si debbano superare dispositivi tecnici di protezione. Tuttavia, anche ciò che viene fatto successivamente con i dati ottenuti non è irrilevante. Ad esempio, se immagini, articoli o altri record di dati vengono intercettati e poi pubblicati senza autorizzazione, si tratta di una chiara violazione della legge sul copyright. Va anche detto che l'uso di questi record di dati nelle campagne di phishing è ovviamente una chiara violazione della legge.
In questo contesto, tuttavia, diventa precario per l'operatore della piattaforma o del sito web, in quanto secondo GDPR linee guida chiare e inequivocabili per quanto riguarda la raccolta e la conservazione dei dati. dati personali devono essere rispettati. L'operatore deve avere un motivo legittimo o richiedere il consenso esplicito dell'utente per raccogliere e conservare i suoi dati personali sensibili. Inoltre, ciò può essere fatto solo nella misura necessaria a svolgere la funzione prevista. è necessario e non più. Inoltre, molti operatori di social network escludono lo scraping fin dall'inizio nei loro termini e condizioni.
Si presume che in passato ci sia stata una fuga di dati molto più estesa, riguardante i dati rubati degli utenti di Twitter. Si tratta di oltre 17 milioni di account utente e dei relativi dati personali sensibili che sono circolati nei circoli di hacker.
Nel 2016, Twitter ha rivelato che almeno 32 milioni di account Twitter e le relative password erano stati rubati tramite una fuga di dati da parte di un hacker che all'epoca cercava di vendere questi dati di accesso sulla darknet. I set completi di dati rubati includevano e-mail, nomi utente e password associate. All'epoca, Twitter non aveva altra scelta che bloccare tutti gli account degli utenti colpiti fino a quando non avessero resettato le loro password e ne avessero create di nuove, dopo aver notificato separatamente l'incidente all'operatore. Anche in questo caso, non era chiaro chi fosse responsabile di questo caso o di questa vulnerabilità di sicurezza da parte dell'operatore della piattaforma.
Il pericolo per coloro i cui dati personali sono stati ottenuti in un simile scenario è che i record di dati ottenuti in modo errato possono essere distribuiti o condivisi con altre terze parti. Questi potrebbero utilizzare i dati personali di un utente, come numeri di telefono e indirizzi e-mail, per attacchi di phishing o addirittura, nel peggiore dei casi, per commettere un furto di identità su Internet.
Phishing è un termine derivato dalla parola inglese "fishing", che descrive il tentativo da parte di un aggressore di ottenere i dati personali della vittima inviando e-mail di spam, siti web falsi o messaggi diretti al cellulare della vittima. L'obiettivo di questo metodo è quello di utilizzare i dati della vittima per commettere furti di proprietà, furti di dati, furti di identità e, nel peggiore dei casi, persino per saccheggiare il conto della vittima. Molti aggressori utilizzano i dati della vittima anche per prendere il controllo di PayPal, eBay o Amazon, ad esempio, e utilizzarli per effettuare acquisti a spese della vittima.
Il phishing è solitamente molto generico da parte degli aggressori, che si riconoscono facilmente dalla formulazione delle "e-mail di phishing". Tuttavia, esiste anche una forma più sofisticata di phishing, nota come "spear phishing". In questo metodo, i messaggi inviati alla vittima sono personalizzati utilizzando dati già letti sulla vittima, per creare l'impressione di un messaggio autentico.
Pertanto, è sempre consigliabile essere scettici su qualsiasi tipo di messaggio ricevuto che richieda dati personali.
Chiaramente, sì! Perché secondo la giurisprudenza attuale e il Regolamento generale sulla protezione dei dati (GDPR) applicabile, l'operatore del social network, cioè Twitter in questo caso, è responsabile dell'adozione e dell'applicazione di adeguate precauzioni di sicurezza per evitare che i dati personali sensibili degli utenti di Twitter vengano letti e memorizzati nel modo già descritto, attraverso lo scraping. Secondo il GDPR, Articolo 25, paragrafi 1 e 2l'operatore responsabile, Twitter, è obbligato a di adottare misure di natura tecnica e organizzativa per assicurare che i dati personali siano non può essere reso accessibile a un numero indefinito di persone fisiche senza l'intervento della persona.
Inoltre, questa cattiva condotta da parte del social network Twitter costituisce un reato contro la legge. Articolo 5 (1e) e (1f) del GDPR rappresentare. Poiché questi "principi di trattamento dei dati personali" affermano che i dati personali possono essere trattati solo se si può garantire che siano identificabili solo per le finalità e il periodo del trattamento e non su base continuativa, ciò avviene per proteggere i diritti e le libertà degli interessati e possono essere interrotti solo per scopi di interesse pubblico, archiviazione, ricerca scientifica e storica e fini statistici.
Articolo 5, paragrafo 1f, del GDPR afferma che l'incaricato del trattamento deve garantire che i dati personali sensibili memorizzati siano archiviati e conservati in modo tale da garantire la protezione da un trattamento non autorizzato, illegale, dalla perdita accidentale, dalla distruzione accidentale o dal danno accidentale all'interessato.
In qualità di persona potenzialmente coinvolta in questo scandalo dei dati di Twitter, tutti hanno la possibilità di Art. 15 GDPR di far valere un diritto di accesso nei confronti di Twitters. Un interessato può quindi Art. 15 GDPR di richiedere a Twitter informazioni sul fatto che loro, e quindi i loro dati sensibili memorizzati, siano interessati dalla fuga di dati. Se Twitter successivamente non fornisce informazioni o fornisce solo informazioni incomplete a questo proposito, l'interessato ha diritto a un risarcimento in base a quanto previsto da Art. 82 GDPRche quest'ultimo può far valere nei confronti di Twitter.
Il fatto è che in molti di questi casi simili, come lo scandalo dei dati di Facebook o lo scandalo dei dati di WhatsApp, i tribunali tedeschi hanno già concesso ai querelanti elevate richieste di risarcimento sulla base della legge sulla protezione dei dati emersa da Art. 82 GDPR conseguente richiesta di risarcimento danni. Una delle ragioni di ciò è che tali richieste di risarcimento derivanti da Violazioni del GDPR Gli importi di risarcimento risultanti dovrebbero avere un effetto deterrente sugli operatori di piattaforme e siti web, in modo che il Regolamento generale sulla protezione dei dati (GDPR) applicabile continui ad essere osservato e rispettato, soprattutto da loro.
Tuttavia, quando si richiede una richiesta di risarcimento danni come persona colpita dallo scandalo dei dati di Twitter, è essenziale cercare un supporto legale per far valere le sue richieste, sotto forma di un avvocato esperto in legge sulla protezione dei dati. Dopo tutto, in una controversia legale di questo tipo con una grande azienda come Twitter, sarebbe negligente e non favorevole all'obiettivo se volesse avere successo se cercasse di farlo da solo.
In primo luogo, dopo aver ricevuto informazioni dettagliate dal responsabile del trattamento, in questo caso Twitter, queste devono essere esaminate in modo intensivo per verificare se vi sia una possibile violazione dei "principi per il trattamento dei dati personali", Art. 5 comma 1 GDPR. È rilevante se risulta che l'azienda responsabile del trattamento ha soddisfatto i seguenti criteri. In sintesi, le informazioni fornite vengono controllate per verificare la legittimità, l'equità, la trasparenza, la limitazione dello scopo, il rispetto della minimizzazione dei dati e della limitazione della conservazione, nonché l'accuratezza, l'integrità e la riservatezza. Se questo controllo da parte dell'avvocato rivela che i dati dell'interessato non sono stati elaborati in conformità al GDPR, le cose si mettono molto male per l'azienda.
Va inoltre ricordato che se l'azienda Twitter non risponde alla richiesta di informazioni in modo dettagliato o entro un periodo di 4 settimane, ciò comporta anche una violazione del GDPR e quindi giustifica una richiesta di risarcimento danni da parte della persona che richiede le informazioni per legge.
Inoltre, il danno deve essere quantificato una volta stabilito che esiste una richiesta di risarcimento. Nel caso di danni materiali, questo è abbastanza semplice, in quanto la controparte è tenuta a pagare l'intero importo come risarcimento. Nel caso di danni morali, invece, la questione è un po' più complicata, in quanto nella maggior parte degli scenari il risarcimento è fissato a un importo fisso di 5000,00 euro, a meno che non vi sia un presupposto che giustifichi un importo superiore.
Tuttavia, va anche ricordato che in passato sono già stati pagati risarcimenti da 6.500,00 a 12.500,00 euro a causa della corrispondenza via e-mail non criptata tra aziende e consumatori, nonché dell'invio non autorizzato di newsletter a persone che non avevano acconsentito a riceverle/essere incluse nella lista di distribuzione.
Si può quindi supporre che, sulla base delle prove di questa violazione dei dati e della diffusa ammissione da parte dei media di misure di sicurezza insufficienti da parte di Twitter, sia possibile richiedere importi molto più elevati, oltre i 5.000,00 euro.
Il nostro compito è quello di aiutare gli interessati ad esercitare i loro diritti. Innanzitutto, in conformità con l'Art. 15 del GDPR, chiediamo a Twitter informazioni su tutti i dati personali elaborati del nostro cliente e la prova che non siano stati consultati o conservati da una persona non autorizzata.
Se queste informazioni non vengono fornite, costituiscono una violazione del dovere ai sensi dell'Art. 5 (1) GDPR o sono incomplete, anche solo in parte, formuleremo la richiesta di risarcimento danni più alta possibile e realistica con il nostro cliente il più rapidamente possibile, in conformità con l'Art. 82 GDPR. In seguito, cercheremo di raggiungere un accordo extragiudiziale con la controparte, Twitter, e se questa misura fallisce, intenteremo una causa contro Twitter presso il tribunale competente.
Un esempio di casi simili a Twitter è quello di Facebook, un'azienda del Gruppo Meta, in cui milioni di dati di account di utenti della piattaforma di social media sono apparsi anche in un forum di hacker a seguito di una fuga di dati nella primavera del 2021. Questo incidente ha suscitato un grande clamore e una vera e propria ondata di cause legali da parte delle persone coinvolte.
Il 14 settembre 2022, il Tribunale regionale di Zwickau ha preso una decisione storica in merito a tali incidenti, in quanto ha dato ragione al querelante, una parte lesa i cui dati sono stati comprovatamente trafugati ed estratti in questo caso, e ha ordinato a Facebook di pagare 1.000,00 euro di danni in questo procedimento. La giustificazione di questa decisione è stata che l'utente aveva subito un danno non materiale ai sensi del Regolamento generale europeo sulla protezione dei dati (AZ: 7 O 334/22), in quanto l'azienda non aveva protetto adeguatamente questi dati sensibili dagli attacchi degli hacker. Un chiaro esempio e una prova che anche i consumatori possono difendersi da tali abusi da parte delle grandi aziende.
In linea di principio, va notato che se la persona interessata desidera far valere la propria richiesta di risarcimento danni tramite un avvocato, è più avvantaggiata per quanto riguarda il rischio di costi se ha stipulato un'assicurazione per le spese legali. In caso contrario, l'interessato dovrà sostenere i costi per incaricare un avvocato di esaminare la richiesta di risarcimento e successivamente farla valere sia in sede extragiudiziale che giudiziale.
Va anche detto che, nel migliore dei casi, il cliente presenterà addirittura una richiesta di copertura alla propria compagnia di assicurazione di tutela legale, presentando i fatti del caso e richiedendo la copertura dei costi dell'incarico di un avvocato prima di prendere contatto con l'avvocato. Nel migliore dei casi, la compagnia assicurativa di tutela legale avrà già accettato di coprire gli onorari dell'avvocato. Questo accelera enormemente il processo di elaborazione tempestiva del mandato per l'avvocato, che potrà così concentrarsi esclusivamente sulla questione legale.
Sede principale - Kerpen
Patrick Baumfalk, avvocato
Strada principale 147
50169 Kerpen
Germania
Filiale - Witten
Patrick Baumfalk, avvocato
Berliner Strasse 4
58452 Witten
Germania
Il nostro partner di cooperazione negli USA, FL, Merritt Island, Spacecoast e Miami, USA:
Alexander Thorlton, Esq - Centro di diritto immobiliare e dell'immigrazione tedesco-americano, LLC
Webdesign e SEO da Servizi Baumfalk