Det har varit känt sedan mitten av 2022. En hackare har samlat in och till och med offentligt delat cirka 5,4 miljoner Twitter-användardata från privatpersoner och företag, inklusive telefonnummer, e-postadresser och andra känsliga uppgifter om enskilda personer. Hackaren fick tillgång till dessa känsliga och personliga uppgifter om användare av det sociala nätverket Twitter via ett osäkert gränssnitt, API, som uppenbarligen var föråldrat och av misstag inte uppdaterades av plattformsoperatören. Även om Twitter i början av året, i januari 2022, meddelade att detta gränssnitt hade "fixats", medgav man också att det tidigare hade utnyttjats.
Ursprungligen försökte hackaren sälja denna fångade Twitter-användardata i ett forum för 30 000,00 dollar i juli i år, men gjorde den därefter offentligt tillgänglig online. I detalj var problemet med denna Twitter-dataskandal förmodligen att det ovannämnda Twitter API kunde användas för att slumpmässigt prova telefonnummer och e-postadresser för att hitta motsvarande Twitter-ID. På så sätt kunde den ansvariga hackaren tilldela denna Twitter-användardata till ett Twitter-ID, dvs. Twitter-kontot, i detalj förra året.
Det är också känt att andra Twitter-användares uppgifter också utbyttes eller delades i slutna nätverk, även om omfattningen av detta inte är känd. Det kan dock antas att många fler användare av det sociala nätverket Twitter påverkas av denna dataskandal och därför måste frukta att deras känsliga personuppgifter nu är i besittning av tvivelaktiga nätverk med kriminella ambitioner. Egendomsstöld, datastöld, identitetsstöld eller till och med plundring av bankkonton är de värsta scenarierna för de drabbade, så det är tillrådligt att anlita en advokat för att ta reda på om deras personuppgifter har varit tillgängliga och, om så är fallet, vidta åtgärder mot detta.
I synnerhet rör det sig om följande Twitter-användaruppgifter:
Scraping, ofta kallat screen scraping eller web scraping, är en funktion som använder ett skript för att läsa och spara information från en webbplats eller onlinetjänster, t.ex. sociala medieplattformar. Google använder också sådana metoder, t.ex. med hjälp av robotar som "genomsöker" webbplatser för att indexera dem i efterhand. För det mesta ligger denna praxis naturligtvis också i webbplats- och plattformsoperatörernas intresse, eftersom sådan indexering kan öka försäljningen eller räckvidden. Scraping kan dock också orsaka stor skada om det missbrukas.
I fallet med den mycket uppmärksammade Facebook scraping-skandalen utnyttjade angriparna en funktion på plattformen som gjorde det möjligt för användare att ladda upp sin telefonbok så att vänner och bekanta kunde skapas eller identifieras direkt i profilen. Här använde angriparna denna kontaktimportfunktion för att hämta uppsättningar av användarprofiler och stjäla de känsliga uppgifter som erhållits. Personuppgifter via den offentliga profilen.
"Skrapning" av offentligt tillgängliga data är inte olagligt per definition, så länge inga tekniska skyddsanordningar måste övervinnas. Vad som sedan görs med de erhållna uppgifterna är dock inte heller obetydligt. Om t.ex. bilder, artiklar eller andra dataposter avlyssnas och sedan publiceras utan tillstånd, är detta ett tydligt brott mot upphovsrättslagen. Det bör också nämnas att användningen av dessa dataposter i phishing-kampanjer naturligtvis också är ett tydligt brott mot lagen.
I detta sammanhang blir det dock osäkert för plattforms- eller webbplatsoperatören, eftersom det enligt GDPR entydiga och klara riktlinjer för insamling och lagring av Personuppgifter måste uppfylla. Operatören måste ha ett legitimt skäl eller kräva uttryckligt samtycke från användaren för att samla in och lagra deras känsliga personuppgifter. Dessutom får detta endast göras i den utsträckning som är nödvändig för att uppfylla den avsedda funktionen. är nödvändig och inte längre. Dessutom utesluter många operatörer av sociala nätverk scraping redan från början i sina villkor.
Enligt uppgift ska det tidigare ha förekommit en mycket mer omfattande dataläcka när det gäller stulna Twitter-användardata. Det handlar om mer än 17 miljoner användarkonton och tillhörande känsliga personuppgifter som har cirkulerat i hackerkretsar.
Redan 2016 avslöjade Twitter att minst 32 miljoner Twitter-konton och tillhörande lösenord hade stulits via en dataläcka av en hackare som vid den tidpunkten försökte sälja dessa åtkomstuppgifter på darknet. De kompletta stulna datauppsättningarna inkluderade e-post, användarnamn och tillhörande lösenord. Vid den tidpunkten hade Twitter inget annat val än att blockera alla berörda användarkonton tills de återställde sina lösenord och skapade nya efter att ha meddelat operatören separat om händelsen. Även här förblev det oklart vem som var ansvarig för detta fall eller denna säkerhetsbrist från plattformsoperatörens sida.
Faran för dem vars personuppgifter har erhållits i ett sådant scenario är att felaktigt erhållna dataposter kan distribueras till andra tredje parter eller delas med dem. De skulle kunna använda en användares personuppgifter, t.ex. telefonnummer och e-postadresser, för nätfiskeattacker eller till och med, i värsta fall, för att begå identitetsstöld på Internet.
Phishing är en term som härstammar från engelskans "fishing" och beskriver en angripares försök att få tag på offrets personuppgifter genom att skicka skräppost, falska webbplatser eller direktmeddelanden till offrets mobiltelefon. Syftet med denna metod är att använda offrets uppgifter för att begå egendomsstöld, datastöld, identitetsstöld och, i värsta fall, till och med för att plundra offrets konto. Många angripare använder också offrets uppgifter för att ta kontroll över t.ex. PayPal, eBay eller Amazon och använda dem för att göra inköp på offrets bekostnad.
Phishing är vanligtvis mycket allmänt hållet av angriparna, vilket du lätt kan känna igen på ordalydelsen i "phishing-mailen". Men det finns också en mer sofistikerad form av phishing, som kallas "spear phishing". I denna metod anpassas de meddelanden som skickas till offret med hjälp av data som redan har lästs ut om offret för att skapa intrycket av ett äkta meddelande.
Det är därför alltid tillrådligt att vara skeptisk till alla typer av meddelanden som du får och som ber om personliga uppgifter.
Helt klart, ja! För enligt gällande rättspraxis och den tillämpliga allmänna dataskyddsförordningen (GDPR) är operatören av det sociala nätverket, dvs. Twitter i detta fall, ansvarig för att vidta och tillämpa lämpliga säkerhetsåtgärder för att förhindra att känsliga personuppgifter om Twitter-användare läses och lagras på det sätt som redan beskrivits, genom skrapning. I enlighet med GDPR, artikel 25.1 och 25.2Den ansvariga operatören, Twitter, är skyldig att vidta åtgärder av teknisk och organisatorisk art för att säkerställa att personuppgifter inte kan göras tillgängliga för ett obegränsat antal fysiska personer utan personens medverkan.
Det sociala nätverket Twitters agerande utgör dessutom ett brott mot Artikel 5.1e och 5.1f i den allmänna dataskyddsförordningen representera. Eftersom dessa "principer för behandling av personuppgifter" anger att personuppgifter endast får behandlas om det kan garanteras att de endast är identifierbara för behandlingens ändamål och period och inte på löpande basis, görs detta för att skydda de registrerades rättigheter och friheter och får endast avbrytas för ändamål av allmänt intresse, arkivering, vetenskaplig och historisk forskning och statistiska ändamål.
Artikel 5.1f i den allmänna dataskyddsförordningen anger att personuppgiftsbiträdet måste se till att lagrade känsliga personuppgifter registreras och lagras på ett sådant sätt att skydd mot obehörig, olaglig behandling, oavsiktlig förlust, oavsiktlig förstöring eller oavsiktlig skada för den registrerade kan garanteras.
Som en potentiellt drabbad person i denna Twitter-dataskandal har alla möjlighet att Artikel 15 i GDPR att begära information från Twitters. En registrerad person kan därför Artikel 15 i GDPR att begära information från Twitter om huruvida de, och därmed deras lagrade känsliga uppgifter, påverkas av dataläckan. Om Twitter därefter inte tillhandahåller någon information eller endast ofullständig information i detta avseende, har den registrerade rätt till ersättning i enlighet med Artikel 82 i GDPRsom den senare kan göra gällande mot Twitter.
Faktum är att tyska domstolar i många av dessa liknande fall, som Facebook-dataskandalen eller WhatsApp-dataskandalen, redan har beviljat kärandena höga skadeståndskrav på grundval av den dataskyddslag som har vuxit fram ur Facebook-dataskandalen. Artikel 82 i GDPR resulterande skadeståndsanspråk. En av anledningarna till detta är att sådana anspråk som härrör från Överträdelser av GDPR De resulterande ersättningsbeloppen bör ha en avskräckande effekt på plattforms- och webbplatsoperatörer, så att den tillämpliga allmänna dataskyddsförordningen (GDPR) fortsätter att iakttas och följas, särskilt av dem.
När man som drabbad av dataskandalen på Twitter kräver skadestånd är det dock viktigt att söka juridiskt stöd i form av en advokat med expertis inom dataskyddslagstiftning för att genomdriva sina krav. I en rättstvist av detta slag med ett stort företag som Twitter skulle det trots allt vara oaktsamt och inte bidra till målet om du vill vara framgångsrik om du försöker göra detta på egen hand.
För det första, efter att ha fått detaljerad information från den personuppgiftsansvarige, i detta fall Twitter, måste detta undersökas intensivt för ett eventuellt brott mot "principerna för behandling av personuppgifter", Art. 5 para. 1 GDPR. Det är relevant om det är uppenbart att företaget som ansvarar för behandlingen har uppfyllt följande kriteriepunkter. Sammanfattningsvis kontrolleras den tillhandahållna informationen med avseende på laglighet, rättvisa, transparens, ändamålsbegränsning, överensstämmelse med dataminimering och lagringsbegränsning, samt noggrannhet, integritet och konfidentialitet. Om advokatens kontroll visar att den registrerades uppgifter inte har behandlats i enlighet med GDPR, ser situationen mycket illa ut för företaget.
Det bör också nämnas här att om företaget Twitter inte uppfyller begäran om information i detalj eller inom en period på 4 veckor, leder detta också till en överträdelse av GDPR och motiverar därmed ett skadeståndskrav från den person som begär information enligt lag.
Dessutom måste skadan sedan kvantifieras när det har fastställts att ett skadeståndsanspråk föreligger. När det gäller materiell skada är detta ganska enkelt, eftersom den andra parten är skyldig att betala hela beloppet som ersättning. När det gäller ideell skada är detta dock något mer komplicerat, eftersom det i de flesta scenarier fastställs till ett fast belopp på 5 000,00 euro, såvida det inte finns ett antagande som skulle motivera ett högre belopp.
Det bör emellertid också nämnas att det redan tidigare har betalats ut ersättningar på 6 500,00 EUR - 12 500,00 EUR på grund av okrypterad e-postkorrespondens mellan företag och konsumenter samt obehörigt utskick av nyhetsbrev till personer som inte hade samtyckt till att få dem/upptas i distributionslistan.
Det kan därför antas att det på grund av bevisningen för detta dataintrång och mediernas omfattande erkännande av otillräckliga säkerhetsåtgärder från Twitters sida är fullt möjligt att kräva mycket högre belopp än 5 000,00 EUR.
Vår uppgift är att hjälpa de registrerade att utöva sina rättigheter. Först och främst begär vi, i enlighet med artikel 15 i GDPR, information från Twitter om alla vår kunds behandlade personuppgifter och bevis på att de inte har öppnats eller lagrats av en obehörig person.
Om denna information inte tillhandahålls, utgör ett brott mot skyldigheten enligt art. 5 (1) GDPR eller är ofullständig, även delvis, kommer vi att formulera högsta möjliga och realistiska skadeståndskrav med vår kund i enlighet med art. 82 GDPR så snart som möjligt. Vi kommer då först att försöka nå en uppgörelse utanför domstol med den andra parten, Twitter, och om denna åtgärd misslyckas kommer vi att väcka talan mot Twitter vid behörig domstol.
Ett exempel på liknande fall som Twitter är Facebook, ett företag i Meta Group, där miljontals kontouppgifter för användare av den sociala medieplattformen också dök upp i ett hackerforum till följd av en dataläcka våren 2021. Denna incident orsakade stor uppståndelse och en veritabel våg av stämningar från de drabbade personerna.
Den 14 september 2022 fattade den regionala domstolen i Zwickau ett vägledande beslut om sådana incidenter, då den gav käranden, en skadelidande vars uppgifter bevisligen hade sugits upp och extraherats i detta fall, rätt och ålade Facebook att betala 1 000,00 euro i skadestånd i detta förfarande. Beslutet motiverades med att användaren hade lidit ideell skada i den mening som avses i den europeiska dataskyddsförordningen (AZ: 7 O 334/22), eftersom företaget inte hade skyddat dessa känsliga uppgifter tillräckligt mot hackerattacker. Ett tydligt exempel och bevis på att konsumenter också kan försvara sig mot sådana missbruk från storföretagens sida.
I princip bör det noteras att om den berörda personen vill hävda sitt skadeståndsanspråk genom en advokat, är han eller hon bättre betjänt med avseende på kostnadsrisken om han eller hon har tecknat en rättsskyddsförsäkring. Om så inte är fallet måste den berörda personen bära kostnaderna för att anlita en advokat för att granska skadeståndsanspråket och därefter göra det gällande både utanför domstol och i domstol.
Det bör också nämnas att klienten i bästa fall till och med lämnar in en begäran om täckning till sitt rättsskyddsförsäkringsbolag genom att redogöra för omständigheterna i fallet och begära att kostnaderna för att anlita en advokat täcks innan den första kontakten med advokaten tas. I bästa fall har rättsskyddsförsäkringsbolaget redan gått med på att täcka advokatens arvode. Detta påskyndar processen med att snabbt behandla uppdraget för advokaten enormt, eftersom advokaten då kan fokusera uteslutande på rättsärendet.
Huvudkontor - Kerpen
Patrick Baumfalk, advokat
Huvudgata 147
50169 Kerpen
Tyskland
Filialkontor - Witten
Patrick Baumfalk, advokat
Berliner Strasse 4
58452 Witten
Tyskland
Vår samarbetspartner i USA, FL, Merritt Island, Spacecoast och Miami, USA:
Alexander Thorlton, Esq. - Tysk-amerikanska fastighets- och immigrationsrättscentret, LLC
Webdesign & SEO från Baumfalks tjänster