Scandalul datelor Twitter

Cabinet de avocatură pentru IT și protecția datelor în Köln, Kerpen și Witten

Dreptul IT și al protecției datelor | rapid, fiabil și specializat

Scandalul datelor Twitter / 5,4 milioane de date ale utilizatorilor au fost publicate

Cabinet de avocatură pentru IT și protecția datelor în Köln, Kerpen și Witten

Avocat pentru - Dreptul muncii | Drept penal | Drept IT | Protecția datelor

De la jumătatea anului 2022, acesta a devenit public. Aproximativ 5,4 milioane de date ale utilizatorilor Twitter ale unor persoane fizice și companii private, inclusiv numere de telefon, adrese de e-mail și alte date sensibile referitoare la persoane individuale, au fost capturate de un hacker și chiar împărtășite public. Hackerul a avut acces la aceste date sensibile și personale ale utilizatorilor rețelei de socializare Twitter prin intermediul unei interfețe nesigure, API, care se pare că era depășită și, în mod eronat, nu a fost actualizată de către operatorul platformei. Deși Twitter a anunțat la începutul anului, în ianuarie 2022, că această interfață a fost "reparată", a recunoscut, de asemenea, că a mai fost exploatată anterior.

Inițial, hackerul a încercat să vândă datele capturate ale utilizatorilor Twitter pe un forum pentru 30.000 de dolari în luna iulie a acestui an, dar apoi le-a distribuit public pe internet. În detaliu, problema acestui scandal al datelor de pe Twitter a fost probabil că numerele de telefon și adresele de e-mail puteau fi încercate la întâmplare prin intermediul API-ului Twitter menționat mai sus pentru a afla ulterior ID-ul Twitter corespunzător, care să corespundă. În acest fel, hackerul responsabil a reușit să atribuie aceste date de utilizator Twitter în detaliu unui ID Twitter, adică unui cont Twitter, anul trecut.

Se știe, de asemenea, că alte date ale utilizatorilor Twitter au fost schimbate sau partajate în rețele închise, dar nu se știe în ce măsură. Cu toate acestea, se poate presupune că mult mai mulți utilizatori ai rețelei de socializare Twitter sunt afectați de acest scandal de date și, prin urmare, trebuie să se teamă că datele lor sensibile și personale se află acum în posesia unor rețele dubioase cu ambiții criminale. Furtul de bunuri, furtul de date, furtul de identitate sau chiar jefuirea conturilor bancare amenință persoanele afectate în cel mai rău caz, așa că este recomandabil să se obțină certitudinea, prin angajarea unui avocat, dacă datele personale au fost interceptate și, în caz afirmativ, să se ia măsuri împotriva lor.

Scandal de date Twitter, Scurgere de date Twitter, Scandal de date Twitter, Date de utilizator Twitter, Twitter, Scraping, Avocat de protecție a datelor, Avocat de protecție a datelor Kerpen, Avocat de protecție a datelor Köln, Avocat de protecție a datelor Witten

Ce date / seturi de date ale utilizatorilor Twitter au fost capturate?

Date de utilizator Twitter capturate

Mai exact, sunt implicate următoarele date ale utilizatorilor Twitter:

  • Adrese de e-mail private
  • Numere de telefon private
  • ID-uri Twitter
  • Numele complete ale utilizatorilor Twitter
  • Nume de conturi ale utilizatorilor Twitter
  • Situații de verificare a utilizatorilor
  • Reședința utilizatorilor
  • URL-ul asociat profilului
  • Numărul de prieteni ai utilizatorilor Twitter
  • Listele favorite ale utilizatorului
  • URL-uri către imaginile de profil ale utilizatorilor

Ce este răzuirea?

Definiția răzuirii

Scrapingul, adesea denumit și screen scraping sau web scraping, este o funcție prin care informațiile de pe un site web sau de pe servicii online, de exemplu platformele de socializare, sunt citite și stocate cu ajutorul unui script. Google utilizează astfel de metode și cu ajutorul roboților, de exemplu, care "târăsc" site-urile web pentru a le indexa ulterior. În cea mai mare parte, această practică este, bineînțeles, și în interesul operatorilor de site-uri web și platforme, deoarece prin această indexare se pot obține mai multe vânzări sau o acoperire mai mare. Cu toate acestea, răzuirea poate provoca, de asemenea, daune mari dacă este folosită în mod greșit.

În cazul scandalului extrem de mediatizat de Facebook scraping, atacatorii au profitat de o funcție a platformei cu ajutorul căreia utilizatorii își puteau încărca agenda telefonică, astfel încât prietenii și cunoștințele erau create sau identificate direct în profil. În acest caz, atacatorii au folosit această funcție de import de contacte pentru a prelua seturi de profiluri de utilizatori și pentru a utiliza datele sensibile pe care le-au primit pentru a date cu caracter personal extras prin intermediul profilului public.

Este scraping-ul în sine ilegal?

"Extragerea" de date accesibile publicului nu este ilegală prin definiție, atâta timp cât nu trebuie depășit niciun dispozitiv tehnic de protecție. Cu toate acestea, ceea ce se face ulterior cu datele obținute nu este, de asemenea, nesemnificativ. Dacă, de exemplu, imagini, articole sau alte seturi de date sunt interceptate și apoi publicate fără permisiune, acest lucru reprezintă o încălcare clară a legislației privind drepturile de autor. De asemenea, trebuie menționat că utilizarea acestor înregistrări de date în campanii de phishing reprezintă, de asemenea, o încălcare clară a legii.

În acest context, însă, devine apoi precar pentru operatorul platformei sau al site-ului, deoarece, potrivit GDPR Orientări clare și lipsite de ambiguitate în ceea ce privește colectarea și stocarea de date cu caracter personal trebuie să se conformeze. Trebuie să existe un motiv legitim din partea operatorului sau este necesar consimțământul expres al utilizatorului pentru a colecta și stoca datele personale sensibile ale acestuia. În plus, acest lucru poate fi făcut numai în măsura în care este necesar pentru îndeplinirea funcției prevăzute. este necesară și nu mai. În plus, mulți operatori de rețele de socializare exclud de la început, în termenii și condițiile lor, posibilitatea de a face scraping.

Alte scurgeri dramatice de date și scandaluri de date la Twitter în trecut

Alte incidente în trecut

Se presupune că în trecut a existat o scurgere de date mult mai amplă privind datele furate ale utilizatorilor Twitter. Este vorba de peste 17 milioane de conturi de utilizator și de datele personale sensibile asociate, care au intrat în circulație în cercurile de hackeri.

Încă din 2016, s-a aflat prin intermediul Twitter că cel puțin 32 de milioane de conturi Twitter și parolele asociate au fost capturate de un hacker care, la vremea respectivă, încerca să vândă aceste date de acces pe darknet. La momentul respectiv, seturile complete de date furate includeau e-mailuri, nume de utilizator și parolele corespunzătoare. La momentul respectiv, Twitter nu a avut de ales decât să blocheze toate conturile utilizatorilor afectați până când aceștia și-au resetat parolele și au creat altele noi, după ce au anunțat separat operatorul despre incident. Și în acest caz a rămas în discuție cine a fost responsabil pentru acest caz sau pentru această lacună de securitate din partea operatorului platformei.

De ce un astfel de scandal de date de pe Twitter reprezintă un risc pentru cei afectați?

Risc pentru părțile potențial vătămate

Pericolul pentru persoana ale cărei date cu caracter personal au fost capturate într-un astfel de scenariu este că înregistrările de date capturate în mod ilegal pot fi distribuite altor terți sau partajate cu aceștia. Aceste terțe părți ar putea utiliza datele personale ale unui utilizator, de exemplu numerele de telefon și adresa de e-mail, pentru atacuri de phishing sau chiar, în cel mai rău caz, pentru furtul de identitate pe internet.

Ce este phishing-ul?

Definiția termenului de phishing

Phishing este un termen derivat din termenul englezesc "fishing", care descrie încercarea unui atacator de a obține date personale prin trimiterea de e-mailuri spam, site-uri web false sau mesaje directe pe telefonul mobil al victimei. Această metodă are ca scop furtul de bunuri, furtul de date, furtul de identitate și, ca cea mai gravă consecință, chiar jefuirea contului persoanei afectate cu ajutorul datelor obținute / capturate ale victimei. Mulți atacatori folosesc, de asemenea, datele victimei, de exemplu, pentru a obține controlul asupra PayPal, eBay sau Amazon și a face astfel achiziții pe cheltuiala victimei.

Phishing-ul este, de obicei, foarte general din partea atacatorilor, lucru pe care îl puteți recunoaște cu ușurință din formulările din "e-mailurile de phishing". Cu toate acestea, există și o formă mai sofisticată de phishing, așa-numitul "spear phishing". În cadrul acestei metode, mesajele trimise victimei sunt personalizate folosind date deja citite despre victimă, pentru a crea impresia unui mesaj real.

Prin urmare, este întotdeauna recomandabil să fiți sceptici în legătură cu orice formă de mesaj care vă solicită informații personale.

Scandal de date Twitter, Scurgere de date Twitter, Scandal de date Twitter, Date de utilizator Twitter, Twitter, Scraping, Avocat de protecție a datelor, Avocat de protecție a datelor Kerpen, Avocat de protecție a datelor Köln, Avocat de protecție a datelor Witten

Care sunt obligațiile Twitter și constituie acest lucru o încălcare a GDPR?

Obligațiile legale ale Twitter în conformitate cu art. 5. DSGVO și art. 25. DSGVO

Foarte clar, da! Pentru că, potrivit jurisprudenței consacrate și a Regulamentului general privind protecția datelor (GDPR) în vigoare, operatorul rețelei sociale, adică în acest caz Twitter, este responsabil pentru luarea și aplicarea măsurilor de securitate adecvate pentru a împiedica citirea și stocarea datelor personale sensibile ale utilizatorilor Twitter în modul deja descris, prin răzuire. Conform GDPR, articolul 25 alineatele (1) și (2)Operatorul responsabil, Twitter, are obligația de a să ia măsuri de natură tehnică și organizatorică pentru a se asigura că datele cu caracter personal nu sunt divulgate unor terțe părți. nu poate fi pus la dispoziția unui număr nelimitat de persoane fizice fără intervenția persoanei.

Mai mult, acest comportament necorespunzător al rețelei de socializare Twitter constituie o încălcare a Articolul 5. alineatul (1e), precum și alineatul (1f) din GDPR constituie. Deoarece aceste "Principii privind prelucrarea datelor cu caracter personal" prevăd că datele cu caracter personal pot fi prelucrate numai dacă se poate garanta că acestea sunt identificabile numai în scopul și pe durata prelucrării și nu în mod continuu, acest lucru se face pentru a proteja drepturile și libertățile persoanelor vizate și pot fi rupte numai în scopuri de interes public, în scopuri arhivistice, de cercetare științifică și istorică, precum și în scopuri statistice. 

Articolul 5 alineatul (1f) din GDPR prevede că persoana împuternicită de către operator trebuie să se asigure că datele cu caracter personal sensibile stocate sunt arhivate și stocate astfel încât să poată fi garantată protecția împotriva prelucrării neautorizate sau ilegale, a pierderii accidentale, a distrugerii accidentale sau a deteriorării accidentale a persoanei vizate.

Ce drepturi am în calitate de persoană vizată? Compensații?

Pretenții ale părții vătămate

În calitate de persoană potențial afectată de acest scandal al datelor Twitter, fiecare are posibilitatea de a Art. 15 GDPR pentru a face uz de un drept de acces împotriva Twitters. Prin urmare, o persoană vizată poate, după Art. 15 GDPR să ceară informații de la Twitter pentru a afla dacă el sau ea, și, prin urmare, și datele sale sensibile stocate, sunt afectate de scurgerea de date. În cazul în care Twitter nu furnizează nicio informație sau furnizează doar informații incomplete în această privință, persoana vizată are dreptul de a solicita despăgubiri în conformitate cu următoarele dispoziții. Art. 82 GDPRpe care acesta din urmă o poate invoca împotriva Twitter.

Adevărul este că, în multe dintre aceste cazuri similare, cum ar fi scandalul datelor de pe Facebook sau scandalul datelor de pe WhatsApp, instanțele germane au acordat deja reclamanților pretenții ridicate de despăgubiri pe baza datelor obținute în urma scandalului datelor de pe Facebook. Art. 82 GDPR cererea de despăgubire rezultată. Unul dintre motive este acela că astfel de creanțe rezultate din Încălcări ale GDPR cuantumurile de despăgubiri rezultate este menită să aibă un efect disuasiv asupra operatorilor de platforme și de site-uri web, astfel încât Regulamentul general privind protecția datelor aplicabil, GDPR, să fie în continuare respectat și respectat, în special de către aceștia.

În ceea ce privește formularea cererii de despăgubiri în calitate de persoană afectată de scandalul datelor de pe Twitter, este, totuși, indispensabil să solicitați sprijin juridic pentru punerea în aplicare a pretențiilor dvs. sub forma unui avocat cu experiență în domeniul legislației privind protecția datelor. Pentru că într-o astfel de dispută legală cu o mare corporație precum Twitter, ar fi doar neglijență și nu ar conduce la atingerea obiectivului de a încerca acest lucru pe cont propriu, dacă doriți să aveți succes.

Extras din articolul 82 DSGVO

Scandal de date Twitter, Scurgere de date Twitter, Scandal de date Twitter, Date de utilizator Twitter, Twitter, Scraping, Avocat de protecție a datelor, Avocat de protecție a datelor Kerpen, Avocat de protecție a datelor Köln, Avocat de protecție a datelor Witten

Ce cerințe trebuie îndeplinite pentru a solicita despăgubiri în temeiul articolului 82 din GDPR?

Condițiile prealabile pentru introducerea cererii de despăgubire

În primul rând, după primirea de informații detaliate de la operator, în acest caz Twitter, acestea trebuie să fie examinate în mod intensiv pentru o posibilă încălcare a obligațiilor față de "principiile de prelucrare a datelor cu caracter personal", articolul 5 alineatul (1) DSGVO. Este relevant dacă este evident că societatea responsabilă de prelucrare a îndeplinit următoarele criterii. Pe scurt, informațiile furnizate sunt verificate din punct de vedere al legalității, al prelucrării corecte, al transparenței, al limitării scopului, al conformității cu minimizarea și limitarea stocării datelor, precum și al acurateței, integrității și confidențialității. În cazul în care această verificare efectuată de avocat relevă faptul că datele persoanei vizate nu au fost prelucrate în conformitate cu GDPR, situația arată extrem de rău pentru companie.

De asemenea, trebuie menționat aici că, în cazul în care Twitter nu dă curs solicitării de informații în detaliu sau în termen de 4 săptămâni, acest lucru conduce, de asemenea, la o încălcare a GDPR și, prin urmare, justifică o cerere de despăgubiri din partea persoanei care solicită informații în temeiul legii.

În plus, prejudiciul trebuie cuantificat ulterior, dacă se stabilește că există o cerere de despăgubire. În cazul daunelor materiale, acest lucru este destul de simplu, deoarece cealaltă parte trebuie să plătească întreaga sumă a daunelor. Cu toate acestea, în cazul daunelor imateriale, acest lucru este ceva mai complicat, deoarece în majoritatea scenariilor aceasta este stabilită la o rată fixă de 5 000,00 EUR, cu excepția cazului în care există o ipoteză care ar justifica o sumă mai mare. 

Cu toate acestea, ar trebui menționat, de asemenea, că în trecut au fost deja plătite despăgubiri de 6 500,00 EUR - 12 500,00 EUR din cauza corespondenței electronice necriptate între întreprinderi și consumatori, precum și a trimiterii neautorizate de buletine informative către persoane care nu și-au dat acordul pentru primirea/ includerea în lista de distribuție.

Prin urmare, se poate presupune că, datorită dovezilor privind această încălcare a securității datelor și a recunoașterii măsurilor de securitate insuficiente ale companiei Twitter, care au fost răspândite în mass-media, este foarte posibil să se pretindă sume mult mai mari de 5000,00 EUR.

Cum putem noi, ca firmă de avocatură pentru legislația privind protecția datelor, să ajutăm o persoană vizată?

Pretenții ale părții vătămate

Sarcina noastră este de a ajuta persoanele vizate să își exercite drepturile. În primul rând, în conformitate cu articolul 15 din GDPR, solicităm ca Twitter să ne informeze cu privire la toate datele cu caracter personal prelucrate despre clientul nostru, precum și dovada că aceste date nu au fost accesate sau stocate de o persoană neautorizată.

În cazul în care aceste informații nu sunt furnizate, constituie o încălcare a obligațiilor în conformitate cu articolul 5 alineatul (1) din DGSVO sau sunt incomplete, chiar și parțial, vom formula o cerere de despăgubiri cât mai mare și mai realistă cu clientul nostru, cât mai repede posibil, în conformitate cu articolul 82 din DSGVO. Ulterior, vom încerca mai întâi să ajungem la o înțelegere extrajudiciară cu cealaltă parte, compania Twitter, iar dacă această măsură eșuează, vom intenta un proces împotriva Twitter la instanța competentă.

Exemple de cazuri similare pe WhatsApp și Facebook

Exemple de cazuri similare pe WhatsApp și Facebook

Un exemplu de cazuri similare cu cel al Twitter este cel al Facebook, o companie a grupului Meta, unde milioane de date ale conturilor utilizatorilor platformei de socializare au apărut, de asemenea, pe un forum de hackeri din cauza unei scurgeri de date în primăvara anului 2021. Acest incident a stârnit o mare vâlvă și, în același timp, un adevărat val de procese din partea persoanelor afectate. 

La 14 septembrie 2022, Tribunalul Regional din Zwickau a luat o decizie istorică în ceea ce privește astfel de incidente, întrucât a acordat reclamantului, o parte vătămată, ale cărei date au fost în mod demonstrabil sifonate și extrase în acest caz, și a obligat Facebook la plata a 1 000 de euro drept despăgubiri în această procedură. Această decizie a fost motivată prin faptul că utilizatorul a suferit un prejudiciu imaterial în sensul Regulamentului general european privind protecția datelor (AZ: 7 O 334/22), deoarece societatea nu a protejat decât în mod inadecvat aceste date sensibile împotriva atacurilor hackerilor. Un exemplu clar și o dovadă că consumatorii se pot apăra cu siguranță împotriva unor astfel de abuzuri din partea marilor corporații.

Ce rol joacă asigurarea de protecție juridică în acest caz?

Asigurarea și acoperirea cheltuielilor de judecată

În principiu, trebuie spus că, dacă persoana în cauză dorește să își facă valabilă cererea de despăgubire prin intermediul unui avocat, este mai bine să își asume riscul costurilor dacă a încheiat o asigurare de protecție juridică. În caz contrar, persoana în cauză trebuie să suporte costurile de angajare a unui avocat care să examineze cererea de despăgubire și, ulterior, să o pună în aplicare în instanță și în afara acesteia. 

De asemenea, ar trebui menționat aici că, în cel mai bun caz, clientul face chiar o cerere de acoperire către compania sa de asigurare de protecție juridică, prezentând faptele cazului și solicitând acoperirea costurilor pentru desemnarea unui avocat înainte de a contacta avocatul. În cel mai bun caz, asigurătorul de protecție juridică va fi de acord chiar să acopere costurile avocatului. Acest lucru accelerează enorm procesul de soluționare rapidă a mandatului pentru avocat, deoarece acesta se poate dedica exclusiv și concentrat asupra faptelor juridice ale cauzei. 

Cum procedează o firmă de avocatură în domeniul protecției datelor într-un astfel de caz?

Abordarea procedurală a revendicării creanțelor

Aveți nevoie de asistență din partea unui avocat pentru legea privind protecția datelor împotriva Twitter?

Apoi contactați-ne

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Cabinet de avocatură pentru IT și protecția datelor în Köln, Kerpen și Witten

Avocat pentru - Dreptul muncii | Drept penal | Drept IT | Protecția datelor