Skandal z danymi na Twitterze

Kancelaria prawna zajmująca się prawem IT i ochroną danych w Kolonii, Kerpen i Witten

Prawo IT i ochrony danych osobowych | szybko, pewnie i specjalistycznie

Skandal z danymi Twittera / opublikowano dane 5,4 mln użytkowników

Kancelaria prawna zajmująca się prawem IT i ochroną danych w Kolonii, Kerpen i Witten

Prawnik - prawo pracy | prawo karne | prawo IT | ochrona danych osobowych

Od mniej więcej połowy roku 2022 stało się to jawne. Około 5,4 mln danych użytkowników Twittera należących do osób prywatnych i firm, w tym numery telefonów, adresy e-mail i inne wrażliwe dane dotyczące poszczególnych osób, zostały przechwycone przez hakera, a nawet udostępnione publicznie. Haker uzyskał dostęp do tych wrażliwych i osobistych danych użytkowników portalu społecznościowego Twitter poprzez niezabezpieczony interfejs, API, który najwyraźniej był przestarzały i błędnie nie został zaktualizowany przez operatora platformy. Choć na początku roku, w styczniu 2022 roku, Twitter ogłosił, że interfejs ten został "naprawiony", to jednocześnie przyznał, że był on już wcześniej wykorzystywany.

Pierwotnie haker próbował sprzedać przechwycone dane użytkowników Twittera na forum za 30 tys. dolarów w lipcu tego roku, ale potem udostępnił je publicznie w internecie. W szczegółach problem tej afery z danymi z Twittera polegał prawdopodobnie na tym, że numery telefonów i adresy e-mail można było losowo wypróbować za pośrednictwem wspomnianego API Twittera, aby następnie poznać odpowiadający im, pasujący identyfikator Twittera. W ten sposób odpowiedzialny za to haker mógł w ubiegłym roku szczegółowo przyporządkować te dane użytkowników Twittera do identyfikatora, czyli konta na Twitterze.

Wiadomo też, że inne dane użytkowników Twittera były wymieniane lub udostępniane w zamkniętych sieciach, ale nie wiadomo w jakim zakresie. Można jednak założyć, że wielu innych użytkowników portalu społecznościowego Twitter zostało dotkniętych tym skandalem z danymi i dlatego muszą się obawiać, że ich wrażliwe, osobiste dane są teraz w posiadaniu podejrzanych sieci o przestępczych ambicjach. Kradzież mienia, kradzież danych, kradzież tożsamości czy nawet grabież kont bankowych grożą w najgorszym wypadku osobom poszkodowanym, dlatego warto uzyskać pewność poprzez wynajęcie prawnika, czy dane osobowe zostały podsłuchane, a jeśli tak, to jakie podjąć działania przeciwko nim.

Skandal z danymi na Twitterze, wyciek danych na Twitterze, dane użytkowników na Twitterze, Twitter, skrobanie, prawnik ds. ochrony danych, prawnik ds. ochrony danych Kerpen, prawnik ds. ochrony danych Kolonia, prawnik ds. ochrony danych Witten

Jakie dane użytkowników Twittera / zestawy danych zostały przechwycone?

Przechwycone dane użytkowników Twittera

Konkretnie chodzi o następujące dane użytkowników Twittera:

  • Prywatne adresy e-mail
  • Prywatne numery telefonów
  • Identyfikatory na Twitterze
  • Pełne nazwy użytkowników Twittera
  • Nazwy kont użytkowników Twittera
  • Status weryfikacji użytkowników
  • Miejsce zamieszkania użytkowników
  • Adres URL związany z profilem
  • Liczba znajomych użytkowników Twittera
  • Listy ulubionych użytkowników
  • Adresy URL do zdjęć profilowych użytkowników

Co to jest skrobanka?

Definicja skrobania

Scraping, często określany również jako screen scraping lub web scraping, to funkcja, w której informacje ze strony internetowej lub usług online, np. platform social media, są odczytywane i przechowywane za pomocą skryptu. Google stosuje takie metody również za pomocą np. botów, które "crawlują" strony internetowe, aby je potem indeksować. W większości przypadków taka praktyka leży oczywiście również w interesie operatorów stron i platform, ponieważ dzięki takiej indeksacji można osiągnąć większą sprzedaż lub większy zasięg. Jednak skrobanie może również wyrządzić duże szkody, jeśli jest źle wykorzystywane.

W przypadku bardzo nagłośnionej afery scrapingowej na Facebooku, napastnicy wykorzystali funkcję platformy, za pomocą której użytkownicy mogli wgrać swoją książkę telefoniczną, dzięki czemu przyjaciele i znajomi byli tworzeni lub identyfikowani bezpośrednio w profilu. W tym przypadku napastnicy wykorzystali tę funkcję importu kontaktów do pobrania zestawów profili użytkowników i wykorzystania otrzymanych wrażliwych danych do dane osobowe wypisać poprzez profil publiczny.

Czy samo skrobanie jest nielegalne?

"Skrobanie" publicznie dostępnych danych nie jest z definicji nielegalne, o ile nie trzeba pokonywać żadnych technicznych zabezpieczeń. Nie bez znaczenia jest jednak również to, co następnie robi się z uzyskanymi danymi. Jeśli na przykład zdjęcia, artykuły lub inne zbiory danych są podsłuchiwane, a następnie publikowane bez pozwolenia, jest to wyraźne naruszenie prawa autorskiego. Należy również wspomnieć, że wykorzystanie tych rekordów danych w kampaniach phishingowych jest również oczywistym naruszeniem prawa.

W tym kontekście staje się jednak wówczas niepewna dla operatora platformy lub strony internetowej, gdyż zgodnie z GDPR Jednoznaczne i jasne wytyczne dotyczące gromadzenia i przechowywania dane osobowe musi spełniać. Do gromadzenia i przechowywania wrażliwych danych osobowych użytkownika musi istnieć uzasadniony powód ze strony operatora lub wymagana jest wyraźna zgoda użytkownika. Ponadto można to zrobić tylko w zakresie niezbędnym do spełnienia zamierzonej funkcji. jest konieczna i już nie. Ponadto wielu operatorów sieci społecznościowych od początku wyklucza scraping w swoich regulaminach.

Inne dramatyczne wycieki danych i skandale z danymi w Twitterze w przeszłości

Inne zdarzenia w przeszłości

Rzekomo w przeszłości doszło do znacznie bardziej rozbudowanego wycieku danych dotyczących wykradzionych danych użytkowników Twittera. Chodzi o ponad 17 milionów kont użytkowników i związane z nimi wrażliwe dane osobowe, które trafiły do obiegu w kręgach hakerów.

Już w 2016 roku za pośrednictwem Twittera okazało się, że co najmniej 32 miliony kont na Twitterze i związanych z nimi haseł zostało przechwyconych przez hakera, który próbował wówczas sprzedać te dane dostępowe w darknecie. Wówczas kompletne skradzione zestawy danych obejmowały e-maile, nazwy użytkowników i odpowiadające im hasła. Wówczas Twitter nie miał innego wyjścia, jak tylko zablokować wszystkie dotknięte incydentem konta użytkowników, dopóki nie zresetują oni swoich haseł i nie utworzą nowych po osobnym powiadomieniu operatora o incydencie. Również w tym przypadku nie było wiadomo, kto jest odpowiedzialny za ten przypadek lub tę lukę w zabezpieczeniach ze strony operatora platformy.

Dlaczego taka afera z danymi na Twitterze stanowi zagrożenie dla osób, których dotyczy?

Ryzyko dla potencjalnie poszkodowanych

Niebezpieczeństwo dla osoby, której dane osobowe zostały przechwycone w takim scenariuszu polega na tym, że bezprawnie przechwycone rekordy danych mogą być rozpowszechniane wśród innych osób trzecich lub udostępniane im. Te osoby trzecie mogłyby wykorzystać dane osobowe użytkownika, na przykład numery telefonów i adresy e-mail, do ataków phishingowych lub nawet, w najgorszym przypadku, do kradzieży tożsamości w Internecie.

Co to jest phishing?

Definicja pojęcia phishing

Phishing to termin pochodzący od angielskiego określenia "fishing", który opisuje próbę pozyskania przez atakującego danych osobowych poprzez wysyłanie spamowych wiadomości e-mail, fałszywych stron internetowych lub bezpośrednich wiadomości na telefon komórkowy ofiary. Metoda ta ma na celu popełnienie kradzieży mienia, kradzieży danych, kradzieży tożsamości, a w najgorszej konsekwencji nawet grabieży konta poszkodowanego przy pomocy uzyskanych / przechwyconych danych ofiary. Wielu napastników wykorzystuje też dane ofiary, np. do przejęcia kontroli nad PayPal, eBay czy Amazon i tym samym dokonywania zakupów na koszt ofiary.

Phishing jest zazwyczaj bardzo ogólny ze strony atakujących, co można łatwo rozpoznać po sformułowaniach w "phishingowych e-mailach". Istnieje jednak również bardziej wyrafinowana forma phishingu, tzw. spear phishing. W tej metodzie wiadomości wysyłane do ofiary są dostosowywane przy użyciu już odczytanych danych o ofierze, aby stworzyć wrażenie prawdziwej wiadomości.

Dlatego zawsze warto sceptycznie podchodzić do każdej formy wiadomości, która przychodzi do Ciebie z prośbą o podanie danych osobowych.

Skandal z danymi na Twitterze, wyciek danych na Twitterze, dane użytkowników na Twitterze, Twitter, skrobanie, prawnik ds. ochrony danych, prawnik ds. ochrony danych Kerpen, prawnik ds. ochrony danych Kolonia, prawnik ds. ochrony danych Witten

Jakie są obowiązki Twittera i czy stanowi to naruszenie GDPR?

Zobowiązania prawne Twittera zgodnie z art. 5. DSGVO i art. 25. DSGVO

Całkiem wyraźnie, tak! Ponieważ zgodnie z utrwalonym orzecznictwem i obowiązującym Ogólnym Rozporządzeniem o Ochronie Danych Osobowych (GDPR) operator sieci społecznościowej, czyli w tym przypadku Twitter, jest odpowiedzialny za podjęcie i zastosowanie odpowiednich środków bezpieczeństwa, aby zapobiec odczytaniu i przechowywaniu wrażliwych danych osobowych użytkowników Twittera w opisany już sposób, poprzez scraping. Według. GDPR, art. 25 ust. 1 i 2Podmiot odpowiedzialny, Twitter, jest zobowiązany do Podjęcie środków o charakterze technicznym i organizacyjnym w celu zapewnienia, że dane osobowe nie są ujawniane osobom trzecim. nie mogą być udostępniane nieokreślonej liczbie osób fizycznych bez interwencji tej osoby.

Ponadto, to niewłaściwe zachowanie portalu społecznościowego Twitter stanowi naruszenie Artykuł 5. ust. 1e, jak również ust. 1f GDPR stanowią. Ponieważ te "Zasady przetwarzania danych osobowych" stanowią, że dane osobowe mogą być przetwarzane tylko wtedy, gdy można zagwarantować, że są one możliwe do zidentyfikowania tylko dla celów i okresu przetwarzania, a nie na bieżąco, odbywa się to w celu ochrony praw i wolności osób, których dane dotyczą i mogą być łamane tylko dla celów interesu publicznego, celów archiwalnych, celów badań naukowych i historycznych, a także celów statystycznych. 

Artykuł 5. ust. 1f GDPR stanowi, że podmiot przetwarzający musi zapewnić, że przechowywane wrażliwe dane osobowe są archiwizowane i przechowywane w sposób gwarantujący ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem, przypadkową utratą, przypadkowym zniszczeniem lub przypadkową szkodą dla osoby, której dane dotyczą.

Jakie prawa przysługują mi jako osobie, której dane dotyczą? Rekompensata?

Dochodzenie roszczeń strony poszkodowanej

Jako osoba potencjalnie poszkodowana w tym skandalu z danymi Twittera, każdy ma możliwość Art. 15 GDPR aby dochodzić prawa dostępu przeciwko Twitterom. Osoba, której dane dotyczą, może zatem po Art. 15 GDPR zażądać od Twittera informacji, czy on sam, a więc także jego przechowywane wrażliwe dane, są dotknięte wyciekiem danych. Jeżeli Twitter nie przekaże żadnych informacji lub przekaże jedynie niepełne informacje w tym zakresie, osoba, której dane dotyczą, będzie uprawniona do dochodzenia odszkodowania zgodnie z poniższymi postanowieniami. Art. 82 GDPRktóre ten ostatni może podnieść przeciwko Twitterowi.

Faktem jest, że w wielu z tych podobnych spraw, takich jak skandal z danymi Facebooka czy skandal z danymi WhatsApp, niemieckie sądy przyznały już powodom wysokie roszczenia odszkodowawcze oparte na danych uzyskanych w wyniku skandalu z danymi Facebooka. Art. 82 GDPR wynikające z tego roszczenie odszkodowawcze. Jednym z powodów jest to, że takie roszczenia wynikające z Naruszenia GDPR wynikające kwoty odszkodowań mają mieć odstraszający wpływ na operatorów platform i stron internetowych, aby obowiązujące ogólne rozporządzenie o ochronie danych, GDPR, było w dalszym ciągu przestrzegane i realizowane, zwłaszcza przez nich.

Jeśli chodzi o dochodzenie roszczeń odszkodowawczych jako osoba poszkodowana w wyniku afery z danymi na Twitterze, niezbędne jest jednak skorzystanie ze wsparcia prawnego w celu wyegzekwowania swoich roszczeń w postaci prawnika posiadającego wiedzę z zakresu prawa ochrony danych. Bo w takim sporze prawnym z wielką korporacją, jaką jest Twitter, próbowanie tego na własną rękę byłoby tylko zaniedbaniem i nie sprzyjało osiągnięciu celu, jeśli chce się odnieść sukces.

Wyciąg z art. 82 DSGVO

Skandal z danymi na Twitterze, wyciek danych na Twitterze, dane użytkowników na Twitterze, Twitter, skrobanie, prawnik ds. ochrony danych, prawnik ds. ochrony danych Kerpen, prawnik ds. ochrony danych Kolonia, prawnik ds. ochrony danych Witten

Jakie wymogi należy spełnić, aby móc dochodzić odszkodowania na podstawie art. 82 GDPR?

Przesłanki dochodzenia roszczeń odszkodowawczych

Przede wszystkim, po otrzymaniu szczegółowych informacji od administratora danych, w tym przypadku Twittera, należy je intensywnie zbadać pod kątem ewentualnego naruszenia obowiązków wobec "Zasad przetwarzania danych osobowych", art. 5 (1) DSGVO. Istotne jest, czy jest oczywiste, że firma odpowiedzialna za przetwarzanie spełniła następujące kryteria. Podsumowując, dostarczone informacje są sprawdzane pod kątem legalności, rzetelnego przetwarzania, przejrzystości, ograniczenia celu, zgodności z minimalizacją danych i ograniczeniem ich przechowywania, a także dokładności, integralności i poufności. Jeśli to sprawdzenie przez prawnika ujawni, że dane osoby, której dane dotyczą, nie były przetwarzane zgodnie z GDPR, to wygląda to wyjątkowo źle dla firmy.

W tym miejscu należy również wspomnieć, że jeśli Twitter nie zastosuje się do prośby o informacje w sposób szczegółowy lub w okresie 4 tygodni, to również prowadzi to do naruszenia GDPR, a tym samym uzasadnia żądanie odszkodowania przez osobę ubiegającą się o informacje z mocy prawa.

Ponadto, w przypadku stwierdzenia istnienia roszczenia odszkodowawczego, należy następnie określić wysokość szkody. W przypadku szkód materialnych jest to dość proste, gdyż druga strona jest zobowiązana do zapłaty pełnej kwoty odszkodowania. W przypadku szkody niematerialnej jest to jednak nieco bardziej skomplikowane, ponieważ w większości scenariuszy jest ona ustalana na stałym poziomie 5000,00 euro, chyba że istnieją przesłanki uzasadniające wyższą kwotę. 

Należy jednak również wspomnieć, że w przeszłości wypłacano już odszkodowania w wysokości 6.500,00 EUR - 12.500,00 EUR z powodu nieszyfrowanej korespondencji e-mailowej pomiędzy firmami a konsumentami, a także nieuprawnionego wysyłania newsletterów do osób, które nie wyraziły zgody na ich otrzymywanie / włączenie do listy dystrybucyjnej.

Można więc przyjąć, że ze względu na rozpowszechniony w mediach dowód tego naruszenia danych i przyznanie się do niewystarczających zabezpieczeń firmy Twitter, całkiem możliwe jest dochodzenie znacznie wyższych kwot niż 5000,00 EUR.

Jak my jako kancelaria prawna zajmująca się prawem ochrony danych osobowych możemy pomóc osobie, której dane dotyczą?

Dochodzenie roszczeń strony poszkodowanej

Naszym zadaniem jest pomóc osobom, których dane dotyczą, w realizacji ich praw. Przede wszystkim, zgodnie z art. 15 GDPR, żądamy od Twittera poinformowania nas o wszystkich przetwarzanych danych osobowych dotyczących naszego klienta, a także dowodu, że dane te nie zostały udostępnione lub przechowywane przez osobę nieuprawnioną.

Jeśli te informacje nie zostaną przekazane, stanowią naruszenie obowiązku zgodnie z art. 5 (1) DSGVO lub są niekompletne, nawet w części, to zgodnie z art. 82 DSGVO jak najszybciej sformułujemy z naszym klientem roszczenie odszkodowawcze w możliwie wysokiej i realistycznej wysokości. Następnie podejmiemy najpierw próbę zawarcia pozasądowej ugody z drugą stroną, firmą Twitter, a jeśli to działanie nie przyniesie skutku, złożymy następnie pozew przeciwko Twitterowi do właściwego sądu.

Przykłady podobnych spraw na WhatsApp i Facebooku

Przykłady podobnych spraw na WhatsApp i Facebooku

Przykładem spraw podobnych do Twittera jest Facebook, spółka należąca do Meta Group, gdzie w wyniku wycieku danych wiosną 2021 roku na forum hakerskim pojawiły się również miliony danych kont użytkowników platformy społecznościowej. Ten incydent wywołał furorę i jednocześnie istną falę pozwów od poszkodowanych osób. 

W dniu 14 września 2022 r. sąd okręgowy w Zwickau podjął przełomową decyzję w odniesieniu do takich incydentów, ponieważ przyznał rację powodowi, poszkodowanemu, którego dane zostały w tej sprawie ewidentnie zassane i wydobyte, i nakazał Facebookowi zapłatę 1000,00 euro odszkodowania w tym postępowaniu. Uzasadnieniem tej decyzji było to, że użytkownik poniósł szkodę niematerialną w rozumieniu europejskiego ogólnego rozporządzenia o ochronie danych (AZ: 7 O 334/22), ponieważ przedsiębiorstwo jedynie w niewystarczającym stopniu chroniło te wrażliwe dane przed atakami hakerów. Ewidentny przykład i dowód na to, że konsumenci zdecydowanie mogą się bronić przed takimi nadużyciami ze strony wielkich korporacji.

Jaką rolę odgrywa w tym przypadku ubezpieczenie ochrony prawnej?

Ubezpieczenie i pokrycie kosztów ochrony prawnej

Zasadniczo należy stwierdzić, że jeśli dana osoba chce dochodzić swoich roszczeń odszkodowawczych za pośrednictwem prawnika, to w odniesieniu do ryzyka kosztów jest w lepszej sytuacji, jeśli wykupiła ubezpieczenie ochrony prawnej. W przeciwnym razie zainteresowany musi ponieść koszty wynajęcia adwokata, który zbada roszczenie odszkodowawcze, a następnie wyegzekwuje je poza sądem i w sądzie. 

Należy tu również wspomnieć, że w najlepszym przypadku klient nawet składa wniosek o pokrycie do swojej firmy ubezpieczeniowej kosztów prawnych, przedstawiając stan faktyczny sprawy i prosząc o pokrycie kosztów za zlecenie prawnika przed pierwszym kontaktem z prawnikiem. W najlepszym przypadku ubezpieczyciel kosztów prawnych zgodzi się nawet na pokrycie kosztów prawnika. Przyspiesza to ogromnie proces szybkiego załatwiania mandatu przez adwokata, gdyż może on wtedy poświęcić się wyłącznie i w skupieniu faktom prawnym sprawy. 

Jak w takim przypadku postępuje kancelaria prawna zajmująca się ochroną danych osobowych?

Proceduralne podejście do dochodzenia roszczeń

Czy potrzebujesz pomocy prawnika w zakresie prawa ochrony danych przeciwko Twitterowi?

To skontaktuj się z nami

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Kancelaria prawna zajmująca się prawem IT i ochroną danych w Kolonii, Kerpen i Witten

Prawnik - prawo pracy | prawo karne | prawo IT | ochrona danych osobowych