Примерно с середины 2022 года она стала публичной. Приблизительно 5,4 миллиона данных пользователей Twitter частных лиц и компаний, включая номера телефонов, адреса электронной почты и другие конфиденциальные данные, касающиеся отдельных лиц, были захвачены хакером и даже выложены в открытый доступ. Хакер получил доступ к этим чувствительным и личным данным пользователей социальной сети Twitter через небезопасный интерфейс, API, который, по всей видимости, был устаревшим и ошибочно не обновлялся оператором платформы. Хотя в начале года, в январе 2022 года, Twitter объявил, что этот интерфейс был "исправлен", он также признал, что им пользовались и раньше.
Первоначально хакер пытался продать захваченные данные пользователей Twitter на форуме за 30 000 долларов в июле этого года, но затем выложил их в открытый доступ в Интернете. В деталях, проблема этого скандала с данными Twitter, вероятно, заключалась в том, что телефонные номера и адреса электронной почты могли быть случайным образом перебраны через вышеупомянутый API Twitter, чтобы впоследствии найти соответствующий, совпадающий ID Twitter. Таким образом, ответственный за это хакер смог подробно сопоставить эти данные пользователей Twitter с идентификатором Twitter ID, то есть учетной записью Twitter, в прошлом году.
Также известно, что другие данные пользователей Twitter обменивались или делились в закрытых сетях, но не известно, в каком объеме. Однако можно предположить, что гораздо больше пользователей социальной сети Twitter затронуты этим скандалом с данными и поэтому должны опасаться, что их конфиденциальные личные данные теперь находятся в распоряжении сомнительных сетей с преступными амбициями. Кража имущества, кража данных, кража личности или даже разграбление банковских счетов угрожают пострадавшим лицам в худшем случае, поэтому рекомендуется получить уверенность, наняв адвоката, была ли прослушка персональных данных и, если да, принять меры против нее.
В частности, речь идет о следующих данных пользователей Twitter:
Скрапинг, часто также называемый экранным или веб-скрапингом, - это функция, при которой информация с веб-сайта или онлайн-сервисов, например, платформ социальных сетей, считывается и сохраняется с помощью скрипта. Google также использует такие методы с помощью ботов, например, которые "ползают" по сайтам, чтобы потом их проиндексировать. По большей части такая практика, конечно же, отвечает интересам операторов сайтов и платформ, поскольку благодаря такой индексации можно добиться большего количества продаж или более широкого охвата. Однако при неправильном использовании шабрение может нанести большой ущерб.
В случае с получившим широкую огласку скандалом со скрейпингом в Facebook, злоумышленники воспользовались функцией платформы, с помощью которой пользователи могли загрузить свою телефонную книгу, чтобы друзья и знакомые были созданы или идентифицированы непосредственно в профиле. В данном случае злоумышленники использовали именно эту функцию импорта контактов для получения наборов профилей пользователей и использования полученных конфиденциальных данных в своих целях. персональные данные извлечь через публичный профиль.
"Соскабливание" общедоступных данных не является незаконным по определению, пока не приходится преодолевать технические средства защиты. Однако немаловажным является и то, что впоследствии делается с полученными данными. Если, например, фотографии, статьи или другие наборы данных прослушиваются, а затем публикуются без разрешения, это является явным нарушением закона об авторском праве. Следует также отметить, что использование этих записей данных в фишинговых кампаниях также является явным нарушением закона.
В этом контексте, однако, это становится опасным для оператора платформы или веб-сайта, поскольку, согласно GDPR Однозначные и четкие руководящие принципы в отношении сбора и хранения персональные данные должен соответствовать. Для сбора и хранения чувствительных персональных данных пользователя должна быть законная причина со стороны оператора или требуется явное согласие пользователя. Более того, это может быть сделано только в той мере, в какой это необходимо для выполнения предусмотренной функции. необходимо и больше не. Кроме того, многие операторы социальных сетей с самого начала исключают скраппинг в своих правилах и условиях.
Утверждается, что в прошлом имела место гораздо более масштабная утечка данных, касающаяся украденных данных пользователей Twitter. Речь идет о более чем 17 миллионах учетных записей пользователей и связанных с ними конфиденциальных личных данных, которые попали в хакерские круги.
Еще в 2016 году через Twitter стало известно, что по меньшей мере 32 миллиона учетных записей Twitter и связанных с ними паролей были захвачены хакером, который в то время пытался продать эти данные доступа в даркнете. В то время полные наборы украденных данных включали электронные письма, имена пользователей и соответствующие пароли. На тот момент у Twitter не было другого выбора, кроме как заблокировать все затронутые аккаунты пользователей до тех пор, пока они не сбросят свои пароли и не создадут новые после отдельного уведомления оператора об инциденте. Здесь также оставалось под вопросом, кто несет ответственность за этот случай или за этот пробел в системе безопасности со стороны оператора платформы.
Опасность для человека, чьи личные данные были захвачены в таком сценарии, заключается в том, что незаконно захваченные записи данных могут быть распространены среди других третьих лиц или переданы им. Эти третьи лица могут использовать личные данные пользователя, например, номера телефонов и адреса электронной почты, для фишинговых атак или даже, в худшем случае, для кражи личности в Интернете.
Фишинг - это термин, происходящий от английского "fishing", который описывает попытку злоумышленника получить личные данные путем рассылки спама по электронной почте, поддельных веб-сайтов или прямых сообщений на мобильный телефон жертвы. Этот метод направлен на совершение кражи имущества, кражи данных, кражи личности и, как худшее последствие, даже разграбление счета пострадавшего лица с помощью полученных/захваченных данных жертвы. Многие злоумышленники также используют данные жертвы, например, чтобы получить контроль над PayPal, eBay или Amazon и таким образом совершать покупки за счет жертвы.
Фишинг обычно носит очень общий характер со стороны злоумышленников, что можно легко распознать по формулировкам в "фишинговых письмах". Однако существует и более изощренная форма фишинга, так называемый "фишинг копьем". В этом методе сообщения, отправляемые жертве, настраиваются с использованием уже считанных данных о жертве, чтобы создать впечатление реального сообщения.
Поэтому всегда рекомендуется скептически относиться к любым сообщениям, которые приходят к вам с просьбой предоставить личную информацию.
Совершенно очевидно, что да! Поскольку согласно установленному прецедентному праву и действующему Общему регламенту по защите данных (GDPR), оператор социальной сети, то есть в данном случае Twitter, несет ответственность за принятие и применение соответствующих мер безопасности для предотвращения считывания и хранения чувствительных персональных данных пользователей Twitter уже описанным способом - путем скраппинга. Согласно GDPR, статья 25 (1) и (2)ответственный оператор, Twitter, обязан Принимать меры технического и организационного характера для обеспечения того, чтобы персональные данные не раскрывались третьим лицам. не могут быть доступны неопределенному числу физических лиц без вмешательства самого лица.
Более того, этот проступок со стороны социальной сети Twitter является нарушением Статья 5. пункт 1e, а также пункт 1f GDPR конституция. Поскольку в этих "Принципах обработки персональных данных" говорится, что персональные данные могут обрабатываться только в том случае, если можно гарантировать, что они поддаются идентификации только в целях и на период обработки, а не на постоянной основе, это делается для защиты прав и свобод субъектов данных и могут быть нарушены только в целях общественного интереса, в архивных целях, в целях научных и исторических исследований, а также в статистических целях.
Статья 5. пункт 1f GDPR гласит, что обработчик должен обеспечить подачу и хранение чувствительных персональных данных таким образом, чтобы была гарантирована защита от несанкционированной или незаконной обработки, случайной потери, случайного уничтожения или случайного повреждения субъекта данных.
Будучи потенциально пострадавшим от скандала с данными Twitter, каждый имеет возможность Ст. 15 GDPR отстаивать право доступа к твиттерам. Таким образом, субъект данных может после Ст. 15 GDPR потребовать от Twitter информацию о том, затронут ли он сам, а значит и его сохраненные конфиденциальные данные, утечкой данных. Если Twitter не предоставляет никакой информации или предоставляет только неполную информацию в этом отношении, субъект данных имеет право требовать возмещения убытков в соответствии со следующими положениями. Ст. 82 GDPRкоторые последний может предъявить Twitter.
Дело в том, что во многих подобных делах, таких как скандал с данными Facebook или скандал с данными WhatsApp, немецкие суды уже удовлетворили высокие требования истцов о возмещении ущерба на основании данных, полученных в результате скандала с данными Facebook. Ст. 82 GDPR вытекающее из этого требование о возмещении ущерба. Одной из причин этого является то, что такие иски, вытекающие из Нарушения GDPR Полученные в результате этого суммы ущерба призваны оказать сдерживающее воздействие на операторов платформ и веб-сайтов, чтобы применимое Общее положение о защите данных, GDPR, продолжало соблюдаться и выполняться, особенно ими.
Что касается предъявления иска о возмещении ущерба как лица, пострадавшего от скандала с данными Twitter, однако, для обеспечения исполнения ваших требований необходимо обратиться за юридической поддержкой к адвокату, обладающему опытом в области законодательства о защите данных. Потому что в таком юридическом споре с такой крупной корпорацией, как Twitter, было бы просто небрежно и не способствовало бы достижению цели пытаться сделать это самостоятельно, если вы хотите добиться успеха.
Прежде всего, после получения подробной информации от контролера, в данном случае Twitter, она должна быть тщательно изучена на предмет возможного нарушения обязанностей в отношении "принципов обработки персональных данных", ст. 5 (1) DSGVO. Имеет значение, очевидно ли, что компания, ответственная за обработку, выполнила следующие критерии. В целом, предоставленная информация проверяется на законность, справедливость обработки, прозрачность, ограничение цели, соблюдение минимизации данных и ограничения хранения, а также точность, целостность и конфиденциальность. Если в результате проверки юристом выясняется, что данные субъекта данных не обрабатывались в соответствии с GDPR, это выглядит крайне плохо для компании.
Здесь также следует упомянуть, что если Twitter не выполняет запрос на информацию в деталях или в течение 4 недель, это также приводит к нарушению GDPR и, таким образом, оправдывает требование о возмещении ущерба со стороны лица, запрашивающего информацию по закону.
Кроме того, в случае установления факта наличия требования о возмещении ущерба, ущерб должен быть впоследствии определен количественно. В случае материального ущерба это довольно просто, так как другая сторона обязана выплатить полную сумму ущерба. Однако в случае нематериального ущерба все несколько сложнее, поскольку в большинстве сценариев он устанавливается в фиксированном размере 5000,00 евро, если нет предположений, которые оправдывают более высокую сумму.
Однако следует также отметить, что в прошлом уже были произведены компенсационные выплаты в размере 6.500,00 EUR - 12.500,00 EUR в связи с незашифрованной электронной перепиской между компаниями и потребителями, а также несанкционированной рассылкой информационных бюллетеней лицам, которые не давали согласия на их получение / включение в список рассылки.
Поэтому можно предположить, что в связи с доказанностью этой утечки данных и признанием недостаточных мер безопасности компании Twitter, которое было распространено в СМИ, вполне возможно требование гораздо больших сумм, чем 5000,00 евро.
Наша задача - помочь субъектам данных реализовать свои права. Прежде всего, в соответствии со статьей 15 GDPR, мы требуем, чтобы Twitter сообщил нам все обрабатываемые персональные данные о нашем клиенте, а также доказательство того, что эти данные не были доступны или сохранены неуполномоченным лицом.
Если эта информация не предоставлена, является нарушением обязанностей согласно статье 5 (1) DGSVO или неполна даже частично, мы как можно быстрее сформулируем с нашим клиентом требование о возмещении ущерба, как можно более высокого и реалистичного, согласно статье 82 DSGVO. Впоследствии мы сначала попытаемся достичь внесудебного урегулирования с другой стороной, компанией Twitter, а если эта мера окажется безуспешной, то мы подадим иск против Twitter в компетентный суд.
Примером случаев, аналогичных Twitter, является случай с Facebook, компанией Meta Group, где миллионы учетных данных пользователей социальной медиаплатформы также оказались на хакерском форуме в результате утечки данных весной 2021 года. Этот инцидент вызвал фурор и одновременно настоящую волну судебных исков от пострадавших людей.
14 сентября 2022 года региональный суд Цвиккау принял знаковое решение в отношении подобных инцидентов: он присудил истцу, пострадавшей стороне, чьи данные были явно выкачаны и извлечены в этом деле, и обязал Facebook выплатить 1000,00 евро в качестве возмещения ущерба в рамках этого разбирательства. Это решение было обосновано тем, что пользователь понес нематериальный ущерб в соответствии с Европейским общим регламентом о защите данных (AZ: 7 O 334/22), поскольку компания лишь недостаточно защитила конфиденциальные данные от хакерских атак. Наглядный пример и доказательство того, что потребители определенно могут защитить себя от подобных злоупотреблений со стороны крупных корпораций.
В принципе, следует сказать, что если заинтересованное лицо желает отстаивать свои требования о возмещении ущерба с помощью адвоката, то с точки зрения риска расходов ему будет лучше, если он застрахует судебные расходы. В противном случае заинтересованное лицо должно нести расходы по найму адвоката для рассмотрения требования о возмещении ущерба и последующего его исполнения в суде и во внесудебном порядке.
Здесь также следует отметить, что в лучшем случае клиент подает запрос на покрытие в свою компанию по страхованию юридических расходов, излагая факты дела и прося покрыть расходы на оплату услуг адвоката еще до первого контакта с адвокатом. В лучшем случае страховщик юридических расходов даже согласится покрыть расходы на адвоката. Это значительно ускоряет процесс оперативного выполнения поручения для адвоката, поскольку он может посвятить себя исключительно юридическим фактам дела.
Главный офис - Керпен
Г-н Патрик Баумфальк, адвокат
Главная дорога 147
50169 Керпен
Германия
Бранч - Виттен
Г-н Патрик Баумфальк, адвокат
Берлинская улица 4
58452 Виттен
Германия
Наш партнер по сотрудничеству в США, штат Флорида, Мерритт-Айленд, Спейскоаст и Майами, США:
Г-н Александр Торлтон, эск. - Немецко-американский центр недвижимости и иммиграционного права, ООО
Веб-дизайн и SEO от Услуги Баумфалька