Скандал с данными Twitter

Юридическая фирма в области информационных технологий и защиты данных в Кельне, Керпене и Виттене

Законодательство в области ИТ и защиты данных | быстро, надежно и специализированно

Скандал с данными Twitter / Опубликованы данные 5,4 млн пользователей

Юридическая фирма в области информационных технологий и защиты данных в Кельне, Керпене и Виттене

Юрист по - Трудовому праву | Уголовному праву | IT праву | Защите данных

Примерно с середины 2022 года она стала публичной. Приблизительно 5,4 миллиона данных пользователей Twitter частных лиц и компаний, включая номера телефонов, адреса электронной почты и другие конфиденциальные данные, касающиеся отдельных лиц, были захвачены хакером и даже выложены в открытый доступ. Хакер получил доступ к этим чувствительным и личным данным пользователей социальной сети Twitter через небезопасный интерфейс, API, который, по всей видимости, был устаревшим и ошибочно не обновлялся оператором платформы. Хотя в начале года, в январе 2022 года, Twitter объявил, что этот интерфейс был "исправлен", он также признал, что им пользовались и раньше.

Первоначально хакер пытался продать захваченные данные пользователей Twitter на форуме за 30 000 долларов в июле этого года, но затем выложил их в открытый доступ в Интернете. В деталях, проблема этого скандала с данными Twitter, вероятно, заключалась в том, что телефонные номера и адреса электронной почты могли быть случайным образом перебраны через вышеупомянутый API Twitter, чтобы впоследствии найти соответствующий, совпадающий ID Twitter. Таким образом, ответственный за это хакер смог подробно сопоставить эти данные пользователей Twitter с идентификатором Twitter ID, то есть учетной записью Twitter, в прошлом году.

Также известно, что другие данные пользователей Twitter обменивались или делились в закрытых сетях, но не известно, в каком объеме. Однако можно предположить, что гораздо больше пользователей социальной сети Twitter затронуты этим скандалом с данными и поэтому должны опасаться, что их конфиденциальные личные данные теперь находятся в распоряжении сомнительных сетей с преступными амбициями. Кража имущества, кража данных, кража личности или даже разграбление банковских счетов угрожают пострадавшим лицам в худшем случае, поэтому рекомендуется получить уверенность, наняв адвоката, была ли прослушка персональных данных и, если да, принять меры против нее.

Скандал с данными Twitter, утечка данных Twitter, данные пользователей Twitter, Twitter, скраппинг, юрист по вопросам конфиденциальности, юрист по вопросам конфиденциальности Керпен, юрист по вопросам конфиденциальности Кельн, юрист по вопросам конфиденциальности Виттен

Какие данные пользователей Twitter / наборы данных были получены?

Захваченные данные пользователей Twitter

В частности, речь идет о следующих данных пользователей Twitter:

  • Личные адреса электронной почты
  • Частные телефонные номера
  • Идентификаторы Twitter
  • Полные имена пользователей Twitter
  • Имена учетных записей пользователей Twitter
  • Статус верификации пользователей
  • Место жительства пользователей
  • URL, связанный с профилем
  • Количество друзей пользователей Twitter
  • Списки избранного пользователя
  • URL-адреса фотографий профиля пользователей

Что такое скрапбукинг?

Определение понятия "соскабливание

Скрапинг, часто также называемый экранным или веб-скрапингом, - это функция, при которой информация с веб-сайта или онлайн-сервисов, например, платформ социальных сетей, считывается и сохраняется с помощью скрипта. Google также использует такие методы с помощью ботов, например, которые "ползают" по сайтам, чтобы потом их проиндексировать. По большей части такая практика, конечно же, отвечает интересам операторов сайтов и платформ, поскольку благодаря такой индексации можно добиться большего количества продаж или более широкого охвата. Однако при неправильном использовании шабрение может нанести большой ущерб.

В случае с получившим широкую огласку скандалом со скрейпингом в Facebook, злоумышленники воспользовались функцией платформы, с помощью которой пользователи могли загрузить свою телефонную книгу, чтобы друзья и знакомые были созданы или идентифицированы непосредственно в профиле. В данном случае злоумышленники использовали именно эту функцию импорта контактов для получения наборов профилей пользователей и использования полученных конфиденциальных данных в своих целях. персональные данные извлечь через публичный профиль.

Является ли само скрапбукинг незаконным?

"Соскабливание" общедоступных данных не является незаконным по определению, пока не приходится преодолевать технические средства защиты. Однако немаловажным является и то, что впоследствии делается с полученными данными. Если, например, фотографии, статьи или другие наборы данных прослушиваются, а затем публикуются без разрешения, это является явным нарушением закона об авторском праве. Следует также отметить, что использование этих записей данных в фишинговых кампаниях также является явным нарушением закона.

В этом контексте, однако, это становится опасным для оператора платформы или веб-сайта, поскольку, согласно GDPR Однозначные и четкие руководящие принципы в отношении сбора и хранения персональные данные должен соответствовать. Для сбора и хранения чувствительных персональных данных пользователя должна быть законная причина со стороны оператора или требуется явное согласие пользователя. Более того, это может быть сделано только в той мере, в какой это необходимо для выполнения предусмотренной функции. необходимо и больше не. Кроме того, многие операторы социальных сетей с самого начала исключают скраппинг в своих правилах и условиях.

Другие драматические утечки данных и скандалы с данными в Twitter в прошлом

Другие инциденты в прошлом

Утверждается, что в прошлом имела место гораздо более масштабная утечка данных, касающаяся украденных данных пользователей Twitter. Речь идет о более чем 17 миллионах учетных записей пользователей и связанных с ними конфиденциальных личных данных, которые попали в хакерские круги.

Еще в 2016 году через Twitter стало известно, что по меньшей мере 32 миллиона учетных записей Twitter и связанных с ними паролей были захвачены хакером, который в то время пытался продать эти данные доступа в даркнете. В то время полные наборы украденных данных включали электронные письма, имена пользователей и соответствующие пароли. На тот момент у Twitter не было другого выбора, кроме как заблокировать все затронутые аккаунты пользователей до тех пор, пока они не сбросят свои пароли и не создадут новые после отдельного уведомления оператора об инциденте. Здесь также оставалось под вопросом, кто несет ответственность за этот случай или за этот пробел в системе безопасности со стороны оператора платформы.

Почему такой скандал с данными Twitter представляет опасность для пострадавших?

Риск для потенциально пострадавших сторон

Опасность для человека, чьи личные данные были захвачены в таком сценарии, заключается в том, что незаконно захваченные записи данных могут быть распространены среди других третьих лиц или переданы им. Эти третьи лица могут использовать личные данные пользователя, например, номера телефонов и адреса электронной почты, для фишинговых атак или даже, в худшем случае, для кражи личности в Интернете.

Что такое фишинг?

Определение термина фишинг

Фишинг - это термин, происходящий от английского "fishing", который описывает попытку злоумышленника получить личные данные путем рассылки спама по электронной почте, поддельных веб-сайтов или прямых сообщений на мобильный телефон жертвы. Этот метод направлен на совершение кражи имущества, кражи данных, кражи личности и, как худшее последствие, даже разграбление счета пострадавшего лица с помощью полученных/захваченных данных жертвы. Многие злоумышленники также используют данные жертвы, например, чтобы получить контроль над PayPal, eBay или Amazon и таким образом совершать покупки за счет жертвы.

Фишинг обычно носит очень общий характер со стороны злоумышленников, что можно легко распознать по формулировкам в "фишинговых письмах". Однако существует и более изощренная форма фишинга, так называемый "фишинг копьем". В этом методе сообщения, отправляемые жертве, настраиваются с использованием уже считанных данных о жертве, чтобы создать впечатление реального сообщения.

Поэтому всегда рекомендуется скептически относиться к любым сообщениям, которые приходят к вам с просьбой предоставить личную информацию.

Скандал с данными Twitter, утечка данных Twitter, данные пользователей Twitter, Twitter, скраппинг, юрист по вопросам конфиденциальности, юрист по вопросам конфиденциальности Керпен, юрист по вопросам конфиденциальности Кельн, юрист по вопросам конфиденциальности Виттен

Каковы обязательства Twitter и является ли это нарушением GDPR?

Юридические обязательства Twitter в соответствии со ст. 5. DSGVO и ст. 25. DSGVO

Совершенно очевидно, что да! Поскольку согласно установленному прецедентному праву и действующему Общему регламенту по защите данных (GDPR), оператор социальной сети, то есть в данном случае Twitter, несет ответственность за принятие и применение соответствующих мер безопасности для предотвращения считывания и хранения чувствительных персональных данных пользователей Twitter уже описанным способом - путем скраппинга. Согласно GDPR, статья 25 (1) и (2)ответственный оператор, Twitter, обязан Принимать меры технического и организационного характера для обеспечения того, чтобы персональные данные не раскрывались третьим лицам. не могут быть доступны неопределенному числу физических лиц без вмешательства самого лица.

Более того, этот проступок со стороны социальной сети Twitter является нарушением Статья 5. пункт 1e, а также пункт 1f GDPR конституция. Поскольку в этих "Принципах обработки персональных данных" говорится, что персональные данные могут обрабатываться только в том случае, если можно гарантировать, что они поддаются идентификации только в целях и на период обработки, а не на постоянной основе, это делается для защиты прав и свобод субъектов данных и могут быть нарушены только в целях общественного интереса, в архивных целях, в целях научных и исторических исследований, а также в статистических целях. 

Статья 5. пункт 1f GDPR гласит, что обработчик должен обеспечить подачу и хранение чувствительных персональных данных таким образом, чтобы была гарантирована защита от несанкционированной или незаконной обработки, случайной потери, случайного уничтожения или случайного повреждения субъекта данных.

Какие права я имею как субъект данных? Компенсация?

Утверждение требований пострадавшей стороны

Будучи потенциально пострадавшим от скандала с данными Twitter, каждый имеет возможность Ст. 15 GDPR отстаивать право доступа к твиттерам. Таким образом, субъект данных может после Ст. 15 GDPR потребовать от Twitter информацию о том, затронут ли он сам, а значит и его сохраненные конфиденциальные данные, утечкой данных. Если Twitter не предоставляет никакой информации или предоставляет только неполную информацию в этом отношении, субъект данных имеет право требовать возмещения убытков в соответствии со следующими положениями. Ст. 82 GDPRкоторые последний может предъявить Twitter.

Дело в том, что во многих подобных делах, таких как скандал с данными Facebook или скандал с данными WhatsApp, немецкие суды уже удовлетворили высокие требования истцов о возмещении ущерба на основании данных, полученных в результате скандала с данными Facebook. Ст. 82 GDPR вытекающее из этого требование о возмещении ущерба. Одной из причин этого является то, что такие иски, вытекающие из Нарушения GDPR Полученные в результате этого суммы ущерба призваны оказать сдерживающее воздействие на операторов платформ и веб-сайтов, чтобы применимое Общее положение о защите данных, GDPR, продолжало соблюдаться и выполняться, особенно ими.

Что касается предъявления иска о возмещении ущерба как лица, пострадавшего от скандала с данными Twitter, однако, для обеспечения исполнения ваших требований необходимо обратиться за юридической поддержкой к адвокату, обладающему опытом в области законодательства о защите данных. Потому что в таком юридическом споре с такой крупной корпорацией, как Twitter, было бы просто небрежно и не способствовало бы достижению цели пытаться сделать это самостоятельно, если вы хотите добиться успеха.

Выдержка из ст. 82 DSGVO

Скандал с данными Twitter, утечка данных Twitter, данные пользователей Twitter, Twitter, скраппинг, юрист по вопросам конфиденциальности, юрист по вопросам конфиденциальности Керпен, юрист по вопросам конфиденциальности Кельн, юрист по вопросам конфиденциальности Виттен

Какие требования должны быть выполнены для того, чтобы требовать возмещения ущерба в соответствии со ст. 82 GDPR?

Необходимые условия для предъявления требования о возмещении ущерба

Прежде всего, после получения подробной информации от контролера, в данном случае Twitter, она должна быть тщательно изучена на предмет возможного нарушения обязанностей в отношении "принципов обработки персональных данных", ст. 5 (1) DSGVO. Имеет значение, очевидно ли, что компания, ответственная за обработку, выполнила следующие критерии. В целом, предоставленная информация проверяется на законность, справедливость обработки, прозрачность, ограничение цели, соблюдение минимизации данных и ограничения хранения, а также точность, целостность и конфиденциальность. Если в результате проверки юристом выясняется, что данные субъекта данных не обрабатывались в соответствии с GDPR, это выглядит крайне плохо для компании.

Здесь также следует упомянуть, что если Twitter не выполняет запрос на информацию в деталях или в течение 4 недель, это также приводит к нарушению GDPR и, таким образом, оправдывает требование о возмещении ущерба со стороны лица, запрашивающего информацию по закону.

Кроме того, в случае установления факта наличия требования о возмещении ущерба, ущерб должен быть впоследствии определен количественно. В случае материального ущерба это довольно просто, так как другая сторона обязана выплатить полную сумму ущерба. Однако в случае нематериального ущерба все несколько сложнее, поскольку в большинстве сценариев он устанавливается в фиксированном размере 5000,00 евро, если нет предположений, которые оправдывают более высокую сумму. 

Однако следует также отметить, что в прошлом уже были произведены компенсационные выплаты в размере 6.500,00 EUR - 12.500,00 EUR в связи с незашифрованной электронной перепиской между компаниями и потребителями, а также несанкционированной рассылкой информационных бюллетеней лицам, которые не давали согласия на их получение / включение в список рассылки.

Поэтому можно предположить, что в связи с доказанностью этой утечки данных и признанием недостаточных мер безопасности компании Twitter, которое было распространено в СМИ, вполне возможно требование гораздо больших сумм, чем 5000,00 евро.

Как мы, юридическая фирма, занимающаяся вопросами защиты данных, можем помочь субъекту данных?

Утверждение требований пострадавшей стороны

Наша задача - помочь субъектам данных реализовать свои права. Прежде всего, в соответствии со статьей 15 GDPR, мы требуем, чтобы Twitter сообщил нам все обрабатываемые персональные данные о нашем клиенте, а также доказательство того, что эти данные не были доступны или сохранены неуполномоченным лицом.

Если эта информация не предоставлена, является нарушением обязанностей согласно статье 5 (1) DGSVO или неполна даже частично, мы как можно быстрее сформулируем с нашим клиентом требование о возмещении ущерба, как можно более высокого и реалистичного, согласно статье 82 DSGVO. Впоследствии мы сначала попытаемся достичь внесудебного урегулирования с другой стороной, компанией Twitter, а если эта мера окажется безуспешной, то мы подадим иск против Twitter в компетентный суд.

Примеры аналогичных случаев в WhatsApp и Facebook

Примеры аналогичных случаев в WhatsApp и Facebook

Примером случаев, аналогичных Twitter, является случай с Facebook, компанией Meta Group, где миллионы учетных данных пользователей социальной медиаплатформы также оказались на хакерском форуме в результате утечки данных весной 2021 года. Этот инцидент вызвал фурор и одновременно настоящую волну судебных исков от пострадавших людей. 

14 сентября 2022 года региональный суд Цвиккау принял знаковое решение в отношении подобных инцидентов: он присудил истцу, пострадавшей стороне, чьи данные были явно выкачаны и извлечены в этом деле, и обязал Facebook выплатить 1000,00 евро в качестве возмещения ущерба в рамках этого разбирательства. Это решение было обосновано тем, что пользователь понес нематериальный ущерб в соответствии с Европейским общим регламентом о защите данных (AZ: 7 O 334/22), поскольку компания лишь недостаточно защитила конфиденциальные данные от хакерских атак. Наглядный пример и доказательство того, что потребители определенно могут защитить себя от подобных злоупотреблений со стороны крупных корпораций.

Какую роль в этом случае играет страхование судебных расходов?

Страхование и покрытие судебных расходов

В принципе, следует сказать, что если заинтересованное лицо желает отстаивать свои требования о возмещении ущерба с помощью адвоката, то с точки зрения риска расходов ему будет лучше, если он застрахует судебные расходы. В противном случае заинтересованное лицо должно нести расходы по найму адвоката для рассмотрения требования о возмещении ущерба и последующего его исполнения в суде и во внесудебном порядке. 

Здесь также следует отметить, что в лучшем случае клиент подает запрос на покрытие в свою компанию по страхованию юридических расходов, излагая факты дела и прося покрыть расходы на оплату услуг адвоката еще до первого контакта с адвокатом. В лучшем случае страховщик юридических расходов даже согласится покрыть расходы на адвоката. Это значительно ускоряет процесс оперативного выполнения поручения для адвоката, поскольку он может посвятить себя исключительно юридическим фактам дела. 

Как в таком случае поступает юридическая фирма, занимающаяся защитой данных?

Процессуальный подход к заявлению требований

Нужна ли вам помощь адвоката по закону о защите данных против Twitter?

Тогда свяжитесь с нами

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Юридическая фирма в области информационных технологий и защиты данных в Кельне, Керпене и Виттене

Юрист по - Трудовому праву | Уголовному праву | IT праву | Защите данных

ru_RUРусский