Twitter data schandaal

Advocatenkantoor voor IT en gegevensbescherming in Keulen, Kerpen en Witten

IT- en gegevensbeschermingsrecht | snel, betrouwbaar en gespecialiseerd

Twitter dataschandaal / 5,4 miljoen gebruikersgegevens gepubliceerd

Advocatenkantoor voor IT en gegevensbescherming in Keulen, Kerpen en Witten

Advocaat voor - Arbeidsrecht | Strafrecht | IT Recht | Gegevensbescherming

Sinds ongeveer het midden van het jaar 2022 is het openbaar geworden. Ongeveer 5,4 miljoen gebruikersgegevens van Twitter van particulieren en bedrijven, waaronder telefoonnummers, e-mailadressen en andere gevoelige gegevens van individuele personen, zijn door een hacker buitgemaakt en zelfs openbaar gedeeld. De hacker kreeg toegang tot deze gevoelige en persoonlijke gegevens van de gebruikers van het sociale netwerk Twitter via een onveilige interface, de API, die blijkbaar verouderd was en ten onrechte niet door de exploitant van het platform werd bijgewerkt. Hoewel Twitter aan het begin van het jaar, in januari 2022, aankondigde dat deze interface was "opgelost", gaf het ook toe dat er al eerder misbruik van was gemaakt.

Oorspronkelijk probeerde de hacker de buitgemaakte Twitter-gebruikersgegevens in juli van dit jaar op een forum te verkopen voor 30.000 dollar, maar deelde ze vervolgens publiekelijk op internet. In detail was het probleem van dit Twitter-dataschandaal waarschijnlijk dat telefoonnummers en e-mailadressen willekeurig konden worden uitgeprobeerd via de eerder genoemde Twitter API om vervolgens de bijbehorende, bijpassende Twitter ID te achterhalen. Op die manier kon de verantwoordelijke hacker deze Twitter-gebruikersgegevens in detail toewijzen aan een Twitter-ID, d.w.z. het Twitter-account, van vorig jaar.

Het is ook bekend dat andere gebruikersgegevens van Twitter werden uitgewisseld of gedeeld in gesloten netwerken, maar niet in welke mate. Aangenomen mag echter worden dat veel meer gebruikers van het sociale netwerk Twitter door dit dataschandaal zijn getroffen en dus moeten vrezen dat hun gevoelige, persoonlijke gegevens nu in het bezit zijn van dubieuze netwerken met criminele ambities. Eigendomsdiefstal, gegevensdiefstal, identiteitsdiefstal of zelfs plundering van bankrekeningen vormen in het ergste geval een bedreiging voor de getroffen personen, zodat het raadzaam is door het inschakelen van een advocaat zekerheid te krijgen of de persoonsgegevens zijn afgetapt en zo ja, daartegen op te treden.

Twitter dataschandaal, Twitter datalek, Twitter gebruikersgegevens, Twitter, Scraping, advocaat gegevensbescherming, advocaat gegevensbescherming Kerpen, advocaat gegevensbescherming Keulen, advocaat gegevensbescherming Witten

Welke Twitter gebruikersgegevens / datasets werden vastgelegd?

Vastgelegde Twitter gebruikersgegevens

Het gaat met name om de volgende gebruikersgegevens van Twitter:

  • Privé e-mailadressen
  • Privé telefoonnummers
  • Twitter ID's
  • De volledige namen van de Twitter-gebruikers
  • Accountnamen van Twitter-gebruikers
  • Verificatiestatussen van gebruikers
  • Woonplaats van de gebruikers
  • De URL gekoppeld aan het profiel
  • Aantal vrienden van Twitter-gebruikers
  • Favoriete lijsten van de gebruiker
  • URL's naar de profielfoto's van de gebruikers

Wat is schrapen?

Definitie van schrapen

Scraping, vaak ook screen scraping of web scraping genoemd, is een functie waarbij informatie van een website of online diensten, bijvoorbeeld social media platforms, met behulp van een script wordt uitgelezen en opgeslagen. Google gebruikt dergelijke methoden bijvoorbeeld ook met behulp van bots, die websites "crawlen" om ze vervolgens te indexeren. Meestal is deze praktijk natuurlijk ook in het belang van de exploitanten van websites en platforms, omdat met een dergelijke indexering meer omzet of een groter bereik kan worden behaald. Schrapen kan echter ook grote schade veroorzaken als het verkeerd wordt gebruikt.

In het geval van het geruchtmakende Facebook-schandaal maakten de aanvallers gebruik van een functie van het platform waarmee gebruikers hun telefoonboek konden uploaden, zodat vrienden en kennissen rechtstreeks in het profiel werden aangemaakt of geïdentificeerd. Hier gebruikten de aanvallers juist deze contactimportfunctie om sets gebruikersprofielen op te halen en de gevoelige gegevens die zij ontvingen voor hun eigen doeleinden te gebruiken. persoonsgegevens extract via het openbare profiel.

Is het schrappen zelf illegaal?

Het "schrapen" van openbaar toegankelijke gegevens is niet per definitie illegaal, zolang geen technische beschermingsvoorzieningen hoeven te worden overwonnen. Wat er vervolgens met de verkregen gegevens wordt gedaan, is echter ook niet onbelangrijk. Als bijvoorbeeld foto's, artikelen of andere datasets worden afgetapt en vervolgens zonder toestemming worden gepubliceerd, is dat een duidelijke schending van het auteursrecht. Ook moet worden vermeld dat het gebruik van deze gegevensrecords in phishing-campagnes een duidelijke schending van de wet is.

In deze context wordt het dan echter precair voor de platform- of website-exploitant, want volgens de GDPR Ondubbelzinnige en duidelijke richtsnoeren voor het verzamelen en opslaan van persoonsgegevens moet voldoen. Er moet een legitieme reden zijn van de exploitant of de uitdrukkelijke toestemming van de gebruiker is vereist om gevoelige persoonsgegevens van de gebruiker te verzamelen en op te slaan. Bovendien mag dit alleen gebeuren in de mate die nodig is om de beoogde functie te vervullen. is noodzakelijk en niet langer. Bovendien sluiten veel exploitanten van sociale netwerken scraping van meet af aan uit in hun voorwaarden.

Andere dramatische datalekken en dataschandalen bij Twitter in het verleden

Andere incidenten in het verleden

Naar verluidt is er in het verleden een veel omvangrijker datalek geweest betreffende gestolen gebruikersgegevens van Twitter. Het gaat om meer dan 17 miljoen gebruikersaccounts en de bijbehorende gevoelige persoonsgegevens, die in hackerskringen in omloop zijn gekomen.

Al in 2016 werd via Twitter bekend dat minstens 32 miljoen Twitter-accounts en bijbehorende wachtwoorden waren buitgemaakt door een hacker die deze toegangsgegevens destijds op het darknet probeerde te verkopen. Destijds omvatten de volledige gestolen gegevenssets e-mails, gebruikersnamen en de bijbehorende wachtwoorden. Op dat moment had Twitter geen andere keuze dan alle getroffen gebruikersaccounts te blokkeren totdat zij hun wachtwoorden opnieuw hadden ingesteld en nieuwe hadden aangemaakt, nadat zij de exploitant afzonderlijk van het incident op de hoogte hadden gesteld. Ook hier bleef het de vraag wie verantwoordelijk was voor dit geval of deze veiligheidslacune van de platformexploitant.

Waarom vormt zo'n Twitter-dataschandaal een risico voor de betrokkenen?

Risico voor potentieel benadeelde partijen

Het gevaar voor de persoon wiens persoonsgegevens in een dergelijk scenario zijn vastgelegd, is dat onrechtmatig vastgelegde gegevensbestanden kunnen worden verspreid onder andere derden of met hen kunnen worden gedeeld. Deze derden zouden de persoonsgegevens van een gebruiker, bijvoorbeeld de telefoonnummers en het e-mailadres, kunnen gebruiken voor phishing-aanvallen of zelfs, in het ergste geval, voor identiteitsdiefstal op internet.

Wat is phishing?

Definitie van de term phishing

Phishing is een term die is afgeleid van de Engelse term "fishing" en beschrijft de poging van een aanvaller om persoonlijke gegevens te verkrijgen door spam e-mails, valse websites of rechtstreekse berichten naar de mobiele telefoon van het slachtoffer te sturen. Deze methode beoogt eigendomsdiefstal, gegevensdiefstal, identiteitsdiefstal en, als ergste gevolg, zelfs plundering van de rekening van de getroffen persoon met behulp van de verkregen / buitgemaakte gegevens van het slachtoffer. Veel aanvallers gebruiken de gegevens van het slachtoffer ook om bijvoorbeeld controle te krijgen over PayPal, eBay of Amazon en zo aankopen te doen op kosten van het slachtoffer.

Phishing wordt meestal zeer algemeen gehouden door de aanvallers, wat u gemakkelijk kunt herkennen aan de bewoordingen in de "phishing e-mails". Er bestaat echter ook een meer geavanceerde vorm van phishing, de zogenaamde "spear phishing". Bij deze methode worden de berichten die naar het slachtoffer worden gestuurd, aangepast met behulp van reeds uitgelezen gegevens over het slachtoffer om de indruk van een echt bericht te wekken.

Het is daarom raadzaam altijd sceptisch te staan tegenover elke vorm van bericht dat tot u komt en u om persoonlijke informatie vraagt.

Twitter dataschandaal, Twitter datalek, Twitter gebruikersgegevens, Twitter, Scraping, advocaat gegevensbescherming, advocaat gegevensbescherming Kerpen, advocaat gegevensbescherming Keulen, advocaat gegevensbescherming Witten

Wat zijn de verplichtingen van Twitter en is dit een inbreuk op de GDPR?

Wettelijke verplichtingen van Twitter volgens art. 5. DSGVO & art. 25. DSGVO

Heel duidelijk, ja! Want volgens vaste rechtspraak en de huidige General Data Protection Regulation (GDPR) is de exploitant van het sociale netwerk, in dit geval dus Twitter, verantwoordelijk voor het nemen en toepassen van passende beveiligingsmaatregelen om te voorkomen dat gevoelige persoonsgegevens van Twitter-gebruikers worden uitgelezen en opgeslagen op de reeds beschreven wijze, door middel van scraping. Volgens de GDPR, artikel 25, leden 1 en 2De verantwoordelijke exploitant, Twitter, is verplicht om Maatregelen van technische en organisatorische aard nemen om ervoor te zorgen dat persoonsgegevens niet aan derden worden verstrekt. niet aan een onbepaald aantal natuurlijke personen ter beschikking worden gesteld zonder tussenkomst van de persoon.

Bovendien vormt dit wangedrag van het sociale netwerk Twitter een schending van de Artikel 5, lid 1e en lid 1f, van de GDPR. vormen. In deze "Beginselen voor de verwerking van persoonsgegevens" staat dat persoonsgegevens alleen mogen worden verwerkt indien kan worden gewaarborgd dat zij alleen voor het doel en de duur van de verwerking identificeerbaar zijn en niet permanent, zulks ter bescherming van de rechten en vrijheden van de betrokkenen en alleen voor doeleinden van algemeen belang, archiefdoeleinden, wetenschappelijk en historisch onderzoek en statistische doeleinden. 

Artikel 5. lid 1f van de GDPR bepaalt dat de verwerker ervoor moet zorgen dat opgeslagen gevoelige persoonsgegevens zodanig worden gearchiveerd en opgeslagen dat bescherming tegen ongeoorloofde of onrechtmatige verwerking, toevallig verlies, toevallige vernietiging of toevallige beschadiging van de betrokkene kan worden gewaarborgd.

Welke rechten heb ik als betrokkene? Compensatie?

De vaststelling van de vorderingen van de benadeelde partij

Als potentieel getroffen persoon van dit Twitter data schandaal, heeft iedereen de mogelijkheid om Art. 15 GDPR om een recht van toegang te doen gelden tegen Twitters. Een betrokkene kan derhalve, na Art. 15 GDPR van Twitter eisen of hij of zij, en dus ook zijn of haar opgeslagen gevoelige gegevens, door het datalek zijn getroffen. Indien Twitter hierover geen of slechts onvolledige informatie verstrekt, heeft de betrokkene het recht schadevergoeding te eisen overeenkomstig de volgende bepalingen. Art. 82 GDPRdie de laatste kan doen gelden tegen Twitter.

In veel van deze vergelijkbare zaken, zoals het Facebook-dataschandaal of het WhatsApp-dataschandaal, hebben Duitse rechtbanken de eisers namelijk al hoge schadeclaims toegekend op basis van de gegevens die zijn verkregen uit het Facebook-dataschandaal. Art. 82 GDPR de daaruit voortvloeiende vordering tot schadevergoeding. Een van de redenen daarvoor is dat dergelijke vorderingen die voortvloeien uit GDPR-inbreuken De daaruit voortvloeiende schadebedragen zijn bedoeld om een afschrikkend effect te hebben op exploitanten van platforms en websites, zodat de toepasselijke algemene verordening gegevensbescherming, GDPR, in acht blijft worden genomen en nageleefd, met name door hen.

Wat betreft de vordering tot schadevergoeding als persoon die door het Twitter-dataschandaal is getroffen, is het echter onontbeerlijk om voor de tenuitvoerlegging van uw vorderingen juridische ondersteuning te zoeken in de vorm van een advocaat met deskundigheid op het gebied van gegevensbeschermingsrecht. Want in zo'n juridisch geschil met een groot bedrijf als Twitter zou het alleen maar nalatig en niet bevorderlijk voor het doel zijn om dit op eigen houtje te proberen als je succes wilt hebben.

Uittreksel uit art. 82 DSGVO

Twitter dataschandaal, Twitter datalek, Twitter gebruikersgegevens, Twitter, Scraping, advocaat gegevensbescherming, advocaat gegevensbescherming Kerpen, advocaat gegevensbescherming Keulen, advocaat gegevensbescherming Witten

Aan welke eisen moet worden voldaan om schadevergoeding te eisen op grond van artikel 82 GDPR?

Voorwaarden voor het instellen van de schadevordering

Allereerst moet na ontvangst van gedetailleerde informatie van de verantwoordelijke voor de verwerking, in dit geval Twitter, deze intensief worden onderzocht op een mogelijke plichtsverzuim ten opzichte van de "beginselen voor de verwerking van persoonsgegevens", art. 5, lid 1, DSGVO. Het is relevant of het duidelijk is dat het bedrijf dat verantwoordelijk is voor de verwerking aan de volgende criteria heeft voldaan. Samengevat wordt de verstrekte informatie gecontroleerd op rechtmatigheid, eerlijke verwerking, transparantie, doelbinding, naleving van gegevensminimalisering en opslagbeperking, alsmede op juistheid, integriteit en vertrouwelijkheid. Als uit deze controle door de advocaat blijkt dat de gegevens van de betrokkene niet in overeenstemming met de GDPR zijn verwerkt, ziet het er bijzonder slecht uit voor het bedrijf.

Tevens dient te worden vermeld dat indien Twitter niet in detail of binnen een termijn van 4 weken gehoor geeft aan het verzoek om informatie, dit eveneens leidt tot een schending van de GDPR en dus een schadeclaim rechtvaardigt van de persoon die de informatie volgens de wet zoekt.

Bovendien moet de schade vervolgens worden gekwantificeerd indien wordt vastgesteld dat er een vordering tot schadevergoeding bestaat. In het geval van materiële schade is dit vrij eenvoudig, aangezien de wederpartij het volledige bedrag van de schade moet betalen. In het geval van immateriële schade ligt dit echter iets gecompliceerder, omdat dit in de meeste scenario's wordt vastgesteld op een vast bedrag van EUR 5000,00, tenzij er een veronderstelling is die een hoger bedrag rechtvaardigt. 

Er zij echter ook op gewezen dat er in het verleden reeds schadevergoedingen van 6.500,00 EUR - 12.500,00 EUR zijn betaald wegens niet-gecodeerde e-mailcorrespondentie tussen bedrijven en consumenten, alsook wegens ongeoorloofde verzending van nieuwsbrieven aan personen die niet hadden ingestemd met deze ontvangst/opname in de distributielijst.

Daarom kan worden aangenomen dat door het bewijs van dit datalek en de erkenning van onvoldoende veiligheidsmaatregelen van het bedrijf Twitter verspreid in de media, het heel goed mogelijk is om veel hogere bedragen dan 5000,00 euro te eisen.

Hoe kunnen wij als advocatenkantoor voor gegevensbescherming een betrokkene helpen?

De vaststelling van de vorderingen van de benadeelde partij

Het is onze taak de betrokkenen te helpen hun rechten uit te oefenen. Allereerst eisen wij, overeenkomstig artikel 15 van de GDPR, dat Twitter ons op de hoogte stelt van alle persoonsgegevens die over onze klant worden verwerkt, alsmede het bewijs dat deze gegevens niet door een onbevoegde persoon zijn ingezien of opgeslagen.

Indien deze informatie niet wordt verstrekt, een plichtsverzuim is overeenkomstig art. 5, lid 1, DSGVO of onvolledig is, zelfs gedeeltelijk, zullen wij zo snel mogelijk een zo hoog en realistisch mogelijke schadeclaim formuleren bij onze klant overeenkomstig art. 82 DSGVO. Vervolgens zullen wij eerst proberen om met de andere partij, het bedrijf Twitter, tot een minnelijke schikking te komen en als deze maatregel mislukt, zullen wij vervolgens een rechtszaak tegen Twitter aanspannen bij de bevoegde rechter.

Voorbeelden van soortgelijke gevallen op WhatsApp en Facebook

Voorbeelden van soortgelijke gevallen op WhatsApp & Facebook

Een voorbeeld van soortgelijke gevallen als Twitter is dat van Facebook, een bedrijf van de Meta Group, waar ook miljoenen accountgegevens van gebruikers van het social media platform opdoken op een hackersforum als gevolg van een datalek in het voorjaar van 2021. Dit incident veroorzaakte furore en tegelijkertijd een ware golf van rechtszaken van de betrokkenen. 

Op 14 september 2022 heeft het Landgericht Zwickau een baanbrekende uitspraak gedaan met betrekking tot dergelijke incidenten, aangezien het de eiser, een benadeelde partij, wiens gegevens in deze zaak aantoonbaar zijn overgeheveld en onttrokken, heeft veroordeeld tot betaling van 1000,00 EUR schadevergoeding in deze procedure. De redenering voor deze beslissing was dat de gebruiker immateriële schade had geleden in de zin van de Europese Algemene Verordening Gegevensbescherming (AZ: 7 O 334/22), aangezien de onderneming deze gevoelige gegevens slechts onvoldoende had beschermd tegen aanvallen van hackers. Een duidelijk voorbeeld en bewijs dat consumenten zich wel degelijk kunnen verdedigen tegen dergelijk misbruik door grote bedrijven.

Welke rol speelt de rechtsbijstandverzekering in dit geval?

Rechtsbijstandverzekering & dekking

Het komt erop neer dat als de betrokkene zijn schadeclaim via een advocaat wil doen gelden, hij wat het kostenrisico betreft beter af is als hij een rechtsbijstandsverzekering heeft afgesloten. Zo niet, dan moet de betrokkene de kosten dragen van het inhuren van een advocaat om de schadevordering te onderzoeken en deze vervolgens buitengerechtelijk en in rechte geldend te maken. 

Hier moet ook worden vermeld dat in het beste geval de cliënt zelfs een verzoek om dekking indient bij zijn rechtsbijstandverzekering door de feiten van de zaak voor te leggen en te vragen om de kosten te dekken voor het inschakelen van een advocaat voordat hij eerst contact opneemt met de advocaat. In het beste geval zal de rechtsbijstandverzekeraar zelfs instemmen met het dekken van de kosten van de advocaat. Dit versnelt het proces van snelle behandeling van het mandaat voor de advocaat enorm, omdat hij zich zo uitsluitend en geconcentreerd aan de juridische feiten van de zaak kan wijden. 

Hoe gaat een advocatenkantoor voor gegevensbescherming in zo'n geval te werk?

Procedurele benadering van het instellen van vorderingen

Heeft u hulp nodig van een advocaat voor gegevensbescherming tegen Twitter?

Neem dan contact met ons op

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Advocatenkantoor voor IT en gegevensbescherming in Keulen, Kerpen en Witten

Advocaat voor - Arbeidsrecht | Strafrecht | IT Recht | Gegevensbescherming