Twitter veri skandalı

Köln, Kerpen ve Witten'de bilişim ve veri koruma hukuku alanında faaliyet gösteren hukuk bürosu

BT ve veri koruma hukuku | hızlı, güvenilir ve uzman

Twitter veri skandalı / 5,4 milyon kullanıcı verisi yayınlandı

Köln, Kerpen ve Witten'de bilişim ve veri koruma hukuku alanında faaliyet gösteren hukuk bürosu

Avukat - İş Hukuku | Ceza Hukuku | Bilişim Hukuku | Kişisel Verilerin Korunması

Yaklaşık 2022 yılının ortalarından bu yana kamuya açık hale gelmiştir. Özel şahıs ve şirketlere ait telefon numaraları, e-posta adresleri ve şahıslara ilişkin diğer hassas veriler de dahil olmak üzere yaklaşık 5,4 milyon Twitter kullanıcı verisi bir bilgisayar korsanı tarafından ele geçirilmiş ve hatta kamuya açık olarak paylaşılmıştır. Bilgisayar korsanı, sosyal ağ Twitter kullanıcılarının bu hassas ve kişisel verilerine, platform operatörü tarafından güncel olmadığı ve hatalı bir şekilde güncellenmediği anlaşılan güvensiz bir arayüz olan API aracılığıyla erişmiştir. Twitter yılın başında, Ocak 2022'de bu arayüzün "düzeltildiğini" duyurmuş olsa da, daha önce istismar edildiğini de kabul etti.

Bilgisayar korsanı, ele geçirdiği Twitter kullanıcı verilerini bu yılın Temmuz ayında bir forumda 30.000 dolara satmaya çalışmış, ancak daha sonra internette herkese açık olarak paylaşmıştır. Ayrıntılı olarak, bu Twitter veri skandalının sorunu muhtemelen telefon numaralarının ve e-posta adreslerinin, daha sonra ilgili, eşleşen Twitter kimliğini bulmak için yukarıda bahsedilen Twitter API'si aracılığıyla rastgele denenebilmesiydi. Bu şekilde, sorumlu bilgisayar korsanı bu Twitter kullanıcı verilerini geçen yıl bir Twitter kimliğine, yani Twitter hesabına ayrıntılı olarak atayabildi.

Diğer Twitter kullanıcı verilerinin de kapalı ağlarda değiş tokuş edildiği veya paylaşıldığı bilinmektedir, ancak ne ölçüde olduğu bilinmemektedir. Bununla birlikte, sosyal ağ Twitter'ın çok daha fazla kullanıcısının bu veri skandalından etkilendiği ve bu nedenle hassas, kişisel verilerinin artık suç emelleri olan şüpheli ağların elinde olmasından korkmaları gerektiği varsayılabilir. Mülk hırsızlığı, veri hırsızlığı, kimlik hırsızlığı ve hatta banka hesaplarının yağmalanması en kötü durumda etkilenen kişileri tehdit eder, bu nedenle bir avukat tutarak kişisel verilerin dinlenip dinlenmediğinden emin olunması ve eğer öyleyse buna karşı harekete geçilmesi tavsiye edilir.

Twitter Veri Skandalı, Twitter Veri Sızıntısı, Twitter Kullanıcı Verileri, Twitter, Kazıma, Veri Koruma Avukatı, Veri Koruma Avukatı Kerpen, Veri Koruma Avukatı Köln, Veri Koruma Avukatı Witten

Hangi Twitter kullanıcı verileri / veri setleri ele geçirildi?

Yakalanan Twitter kullanıcı verileri

Spesifik olarak, aşağıdaki Twitter kullanıcı verileri söz konusudur:

  • Özel e-posta adresleri
  • Özel telefon numaraları
  • Twitter Kimlikleri
  • Twitter kullanıcılarının tam isimleri
  • Twitter kullanıcılarının hesap adları
  • Kullanıcı doğrulama durumları
  • Kullanıcıların ikametgahı
  • Profil ile ilişkili URL
  • Twitter kullanıcılarının arkadaş sayısı
  • Kullanıcı favori listeleri
  • Kullanıcıların profil resimlerinin URL'leri

Kazıma nedir?

Kazımanın tanımı

Genellikle ekran kazıma veya web kazıma olarak da adlandırılan kazıma, bir web sitesinden veya sosyal medya platformları gibi çevrimiçi hizmetlerden bilgilerin bir komut dosyası yardımıyla okunduğu ve depolandığı bir işlevdir. Google bu tür yöntemleri, örneğin web sitelerini daha sonra dizine eklemek için "tarayan" botların yardımıyla da kullanır. Çoğunlukla, bu uygulama elbette web sitelerinin ve platformların operatörlerinin de yararınadır, çünkü bu tür bir indeksleme yoluyla daha fazla satış veya daha yüksek erişim elde edilebilir. Ancak kazıma işlemi yanlış kullanıldığında büyük zararlara da yol açabilir.

Kamuoyunda büyük yankı uyandıran Facebook kazıma skandalında saldırganlar, kullanıcıların telefon rehberlerini yükleyebildikleri platformun bir işlevinden faydalanarak arkadaşların ve tanıdıkların doğrudan profilde oluşturulmasını veya tanımlanmasını sağlamışlardır. Bu durumda, saldırganlar bu kişi içe aktarma işlevini kullanıcı profili kümelerini almak ve aldıkları hassas verileri şu amaçlarla kullanmak için kullandılar kişisel veriler genel profil aracılığıyla ayıklayın.

Kazımanın kendisi yasa dışı mı?

Kamuya açık verilerin "kazınması", teknik koruma cihazlarının aşılması gerekmediği sürece, tanım gereği yasadışı değildir. Bununla birlikte, elde edilen verilerle daha sonra ne yapıldığı da önemsiz değildir. Örneğin, resimler, makaleler veya diğer veri setleri dinlenir ve daha sonra izinsiz olarak yayınlanırsa, bu telif hakkı yasasının açık bir ihlalidir. Bu veri kayıtlarının oltalama kampanyalarında kullanılmasının da açık bir yasa ihlali olduğunu belirtmek gerekir.

Ancak bu bağlamda, platform veya web sitesi operatörü için durum istikrarsız hale gelmektedir, çünkü GDPR Toplama ve depolama ile ilgili açık ve net kılavuz ilkeler kişisel veriler uymak zorundadır. Kullanıcının hassas kişisel verilerinin toplanması ve saklanması için operatörün meşru bir nedeni olmalı veya kullanıcının açık rızası gerekmektedir. Ayrıca, bu yalnızca amaçlanan işlevi yerine getirmek için gerekli olduğu ölçüde yapılabilir. gerekli ve artık değil. Buna ek olarak, birçok sosyal ağ operatörü kazıma işlemini kendi hüküm ve koşullarında en baştan hariç tutmaktadır.

Twitter'da geçmişte yaşanan diğer dramatik veri sızıntıları ve veri skandalları

Geçmişteki diğer olaylar

İddialara göre, geçmişte çalınan Twitter kullanıcı verileriyle ilgili çok daha kapsamlı bir veri sızıntısı yaşandı. Bu, hacker çevrelerinde dolaşıma giren 17 milyondan fazla kullanıcı hesabını ve ilgili hassas kişisel verileri içermektedir.

2016 gibi erken bir tarihte, Twitter aracılığıyla en az 32 milyon Twitter hesabının ve ilgili şifrelerin, o sırada bu erişim verilerini darknet üzerinde satmaya çalışan bir bilgisayar korsanı tarafından ele geçirildiği biliniyordu. O sırada, çalınan veri setlerinin tamamı e-postaları, kullanıcı adlarını ve ilgili şifreleri içeriyordu. O sırada Twitter'ın, operatörü olaydan ayrı olarak haberdar ettikten sonra, etkilenen tüm kullanıcı hesaplarını şifrelerini sıfırlayıp yenilerini oluşturana kadar engellemekten başka seçeneği yoktu. Burada da bu vakadan ya da platform operatörünün bu güvenlik açığından kimin sorumlu olduğu tartışmalı kalmıştır.

Böyle bir Twitter veri skandalı neden etkilenenler için risk oluşturuyor?

Potansiyel olarak yaralanan taraflar için risk

Böyle bir senaryoda kişisel verileri ele geçirilen kişi için tehlike, hukuka aykırı olarak ele geçirilen veri kayıtlarının diğer üçüncü taraflara dağıtılabilmesi veya onlarla paylaşılabilmesidir. Bu üçüncü taraflar, bir kullanıcının kişisel verilerini, örneğin telefon numaralarını ve e-posta adresini, kimlik avı saldırıları için veya hatta en kötü durumda İnternet üzerinden kimlik hırsızlığı için kullanabilir.

Kimlik avı nedir?

Oltalama teriminin tanımı

Oltalama, bir saldırganın spam e-postalar, sahte web siteleri veya kurbanın cep telefonuna doğrudan mesajlar göndererek kişisel verileri elde etme girişimini tanımlayan İngilizce "fishing" teriminden türetilmiş bir terimdir. Bu yöntem, mağdurun elde edilen / ele geçirilen verileri yardımıyla mülk hırsızlığı, veri hırsızlığı, kimlik hırsızlığı ve hatta en kötü sonuç olarak etkilenen kişinin hesabının yağmalanmasını amaçlamaktadır. Birçok saldırgan, örneğin PayPal, eBay veya Amazon'un kontrolünü ele geçirmek ve böylece kurbanın zararına alışveriş yapmak için kurbanın verilerini de kullanır.

Kimlik avı genellikle saldırganlar tarafından çok genel tutulur, bunu "kimlik avı e-postaları" içindeki ifadelerden kolayca anlayabilirsiniz. Bununla birlikte, "mızrakla oltalama" olarak adlandırılan daha sofistike bir oltalama biçimi de vardır. Bu yöntemde, kurbana gönderilen mesajlar, gerçek bir mesaj izlenimi yaratmak için kurban hakkında önceden okunmuş veriler kullanılarak özelleştirilir.

Bu nedenle, size gelen ve kişisel bilgilerinizi isteyen her türlü mesaja her zaman şüpheyle yaklaşmanız tavsiye edilir.

Twitter Veri Skandalı, Twitter Veri Sızıntısı, Twitter Kullanıcı Verileri, Twitter, Kazıma, Veri Koruma Avukatı, Veri Koruma Avukatı Kerpen, Veri Koruma Avukatı Köln, Veri Koruma Avukatı Witten

Twitter'ın yükümlülükleri nelerdir ve bu durum GDPR'nin ihlalini teşkil eder mi?

Madde 5. DSGVO ve Madde 25. DSGVO uyarınca Twitter'ın yasal yükümlülükleri

Oldukça açık, evet! Çünkü yerleşik içtihat hukukuna ve mevcut Genel Veri Koruma Yönetmeliğine (GDPR) göre, sosyal ağ operatörü, yani bu durumda Twitter, Twitter kullanıcılarının hassas kişisel verilerinin daha önce açıklanan şekilde, kazıma yoluyla okunmasını ve saklanmasını önlemek için uygun güvenlik önlemlerini almak ve uygulamaktan sorumludur. Buna göre GDPR, Madde 25(1) ve (2)sorumlu operatör olan Twitter, aşağıdaki hususları yerine getirmekle yükümlüdür Kişisel verilerin üçüncü taraflara ifşa edilmemesini sağlamak için teknik ve organizasyonel nitelikte önlemler alır. kişinin müdahalesi olmaksızın belirsiz sayıda gerçek kişinin kullanımına sunulamaz.

Ayrıca, sosyal ağ Twitter'ın bu suistimali, Avrupa İnsan Hakları Sözleşmesi'nin ihlalini teşkil etmektedir. GDPR'nin 5. maddesinin 1e paragrafının yanı sıra 1f paragrafı teşkil eder. Bu "Kişisel Verilerin İşlenmesine İlişkin İlkeler", kişisel verilerin yalnızca işleme amaçları ve süresi için tanımlanabilir olduklarının garanti edilebilmesi durumunda işlenebileceğini ve sürekli olarak işlenemeyeceğini belirttiğinden, bu, veri sahiplerinin hak ve özgürlüklerini korumak için yapılır ve yalnızca kamu yararı, arşiv amaçları, bilimsel ve tarihsel araştırma amaçları ve istatistiksel amaçlar için kırılabilir. 

GDPR Madde 5. paragraf 1f İşleyicinin, saklanan hassas kişisel verilerin, yetkisiz veya yasa dışı işleme, kazara kayıp, kazara imha veya veri sahibinin kazara zarar görmesine karşı korumanın garanti edilebileceği şekilde dosyalanmasını ve saklanmasını sağlaması gerektiğini belirtir.

Veri sahibi olarak hangi haklara sahibim? Tazminat mı?

Zarar gören tarafın taleplerinin ileri sürülmesi

Bu Twitter veri skandalından potansiyel olarak etkilenen bir kişi olarak herkesin şunları yapma imkanı vardır Madde 15 GDPR Twitters'a karşı erişim hakkını savunmak için. Bu nedenle, bir veri öznesi aşağıdakilerden sonra Madde 15 GDPR Twitter'dan kendisinin ve dolayısıyla saklanan hassas verilerinin veri sızıntısından etkilenip etkilenmediğine ilişkin bilgi talep edebilir. Twitter'ın bu konuda hiç bilgi vermemesi veya yalnızca eksik bilgi vermesi halinde, veri sahibi aşağıdaki hükümler uyarınca zararlarının tazmin edilmesini talep etme hakkına sahip olacaktır Madde 82 GDPRTwitter'a karşı ileri sürebilir.

Gerçek şu ki, Facebook veri skandalı veya WhatsApp veri skandalı gibi benzer davaların çoğunda, Alman mahkemeleri davacıların Facebook veri skandalından elde edilen verilere dayanan yüksek tazminat taleplerini zaten kabul etmiştir. Madde 82 GDPR ortaya çıkan tazminat talebi. Bunun nedenlerinden biri, bu tür taleplerin aşağıdakilerden kaynaklanmasıdır GDPR ihlalleri Ortaya çıkan tazminat miktarlarının, platform ve web sitesi operatörleri üzerinde caydırıcı bir etki yaratması ve böylece yürürlükteki Genel Veri Koruma Yönetmeliği GDPR'nin özellikle onlar tarafından gözetilmeye ve uyulmaya devam edilmesi amaçlanmaktadır.

Ancak, Twitter veri skandalından etkilenen bir kişi olarak tazminat talebinde bulunma konusunda, taleplerinizin yerine getirilmesi için veri koruma hukuku alanında uzman bir avukattan hukuki destek almanız zorunludur. Çünkü Twitter gibi büyük bir şirketle böyle bir hukuki ihtilafta, başarılı olmak istiyorsanız bunu kendi başınıza yapmaya çalışmak sadece ihmalkarlık olur ve amaca hizmet etmez.

DSGVO Madde 82'den alıntı

Twitter Veri Skandalı, Twitter Veri Sızıntısı, Twitter Kullanıcı Verileri, Twitter, Kazıma, Veri Koruma Avukatı, Veri Koruma Avukatı Kerpen, Veri Koruma Avukatı Köln, Veri Koruma Avukatı Witten

GDPR Madde 82 kapsamında tazminat talep etmek için hangi gereklilikler yerine getirilmelidir?

Tazminat talebinde bulunmak için ön koşullar

Öncelikle, kontrolörden, bu durumda Twitter'dan, ayrıntılı bilgi alındıktan sonra, DSGVO Madde 5 (1) "kişisel verilerin işlenmesi ilkelerine" karşı olası bir görev ihlali olup olmadığı yoğun bir şekilde incelenmelidir. İşlemeden sorumlu şirketin aşağıdaki kriterleri yerine getirdiğinin açık olup olmadığı önemlidir. Özet olarak, sağlanan bilgiler yasallık, adil işleme, şeffaflık, amaç sınırlaması, veri minimizasyonu ve depolama sınırlamasına uygunluğun yanı sıra doğruluk, bütünlük ve gizlilik açısından kontrol edilir. Avukat tarafından yapılan bu kontrol, veri sahibinin verilerinin GDPR'ye uygun olarak işlenmediğini ortaya çıkarırsa, şirket için son derece kötü görünür.

Burada ayrıca, Twitter'ın bilgi talebini ayrıntılı olarak veya 4 haftalık bir süre içinde yerine getirmemesi durumunda, bunun da GDPR'nin ihlaline yol açtığı ve dolayısıyla bilgi isteyen kişinin yasa gereği tazminat talebinde bulunmasını haklı kıldığı belirtilmelidir.

Buna ek olarak, bir tazminat talebinin mevcut olduğu tespit edilirse, zararın daha sonra ölçülmesi gerekir. Maddi hasar söz konusu olduğunda, karşı tarafın hasarın tamamını ödemesi gerektiğinden, bu oldukça basittir. Ancak, manevi zarar söz konusu olduğunda, bu durum biraz daha karmaşıktır, çünkü çoğu senaryoda, daha yüksek bir tutarı haklı çıkaracak bir varsayım olmadığı sürece, bu tutar 5000,00 Euro'luk sabit bir oran olarak belirlenir. 

Bununla birlikte, geçmişte, şirketler ve tüketiciler arasındaki şifrelenmemiş e-posta yazışmaları ve haber bültenlerinin bu alım / dağıtım listesine dahil edilmesine izin vermeyen kişilere izinsiz gönderilmesi nedeniyle 6.500,00 EUR - 12.500,00 EUR tutarında tazminat ödemeleri yapıldığı da belirtilmelidir.

Dolayısıyla, bu veri ihlalinin kanıtlanması ve Twitter şirketinin yetersiz güvenlik önlemlerini kabul etmesinin medyada yayılması nedeniyle, 5000,00 EUR'nun ötesinde çok daha yüksek miktarların talep edilmesinin oldukça mümkün olduğu varsayılabilir.

Veri koruma hukuku alanında faaliyet gösteren bir hukuk bürosu olarak ilgili kişiye nasıl yardımcı olabiliriz?

Zarar gören tarafın taleplerinin ileri sürülmesi

Görevimiz, veri sahiplerinin haklarını kullanmalarına yardımcı olmaktır. Öncelikle, GDPR'nin 15. Maddesi uyarınca, Twitter'ın müşterimiz hakkında işlenen tüm kişisel veriler hakkında bizi bilgilendirmesini ve bu verilere yetkisiz bir kişi tarafından erişilmediğini veya saklanmadığını kanıtlamasını talep ediyoruz.

Bu bilgilerin verilmemesi, DGSVO Madde 5 (1) uyarınca bir görev ihlali teşkil etmesi veya kısmen de olsa eksik olması halinde, DSGVO Madde 82 uyarınca müvekkilimizle mümkün olan en kısa sürede mümkün olduğunca yüksek ve gerçekçi bir tazminat talebinde bulunacağız. Akabinde, öncelikle diğer taraf olan Twitter şirketi ile mahkeme dışı bir uzlaşmaya varmaya çalışacağız ve bu önlemin başarısız olması halinde, Twitter aleyhine yetkili mahkemede dava açacağız.

WhatsApp ve Facebook'taki benzer vakalardan örnekler

WhatsApp ve Facebook'ta benzer vaka örnekleri

Twitter'a benzer vakalara bir örnek olarak, Meta Group'un bir şirketi olan Facebook'un sosyal medya platformu kullanıcılarının milyonlarca hesap verisinin 2021 baharında bir veri sızıntısı nedeniyle bir hacker forumunda ortaya çıkması gösterilebilir. Bu olay büyük bir öfkeye ve aynı zamanda etkilenen kişilerden gelen gerçek bir dava dalgasına neden oldu. 

14 Eylül 2022 tarihinde Zwickau Bölge Mahkemesi, bu tür olaylarla ilgili olarak dönüm noktası niteliğinde bir karara imza atarak, bu davada verileri açıkça hortumlanan ve elde edilen davacı tarafa Facebook'un 1000,00 Avro tazminat ödemesine hükmetmiştir. Bu kararın gerekçesi, kullanıcının Avrupa Genel Veri Koruma Yönetmeliği (AZ: 7 O 334/22) anlamında manevi zarara uğramış olmasıydı, çünkü şirket bu hassas verileri hacker saldırılarına karşı yalnızca yetersiz bir şekilde korumuştu. Tüketicilerin, büyük şirketlerin bu tür suiistimallerine karşı kendilerini kesinlikle savunabileceklerinin açık bir örneği ve kanıtı.

Yasal masraf sigortası bu durumda nasıl bir rol oynar?

Yasal gider sigortası ve teminatı

Temel olarak, ilgili kişinin tazminat talebini bir avukat aracılığıyla ileri sürmek istemesi halinde, yasal gider sigortası yaptırmış olması halinde maliyet riski açısından daha iyi durumda olacağı söylenmelidir. Aksi takdirde, ilgili kişi, tazminat talebini incelemek ve daha sonra mahkeme dışında ve mahkemede uygulamak için bir avukat tutma masraflarını üstlenmelidir. 

Burada ayrıca belirtmek gerekir ki, en iyi senaryoda, müvekkil, avukatla ilk temastan önce bile, davanın gerçeklerini sunarak ve bir avukatın görevlendirilmesi için masrafların karşılanmasını isteyerek yasal giderler sigorta şirketine bir teminat talebinde bulunur. En iyi durumda, yasal giderler sigortacısı avukatın masraflarını karşılamayı bile kabul edecektir. Bu durum, avukatın kendisini yalnızca davanın hukuki gerçeklerine adayabilmesi ve odaklanabilmesi nedeniyle, görevin hızlı bir şekilde yerine getirilmesi sürecini son derece hızlandırır. 

Bir veri koruma hukuku firması böyle bir durumda nasıl hareket eder?

Taleplerin ileri sürülmesine yönelik usuli yaklaşım

Twitter'a karşı veri koruma hukuku için bir avukatın yardımına mı ihtiyacınız var?

O zaman bizimle iletişime geçin

+49 (0) 2273 - 40 68 504

info@kanzlei-baumfalk.de

Köln, Kerpen ve Witten'de bilişim ve veri koruma hukuku alanında faaliyet gösteren hukuk bürosu

Avukat - İş Hukuku | Ceza Hukuku | Bilişim Hukuku | Kişisel Verilerin Korunması

tr_TRTürkçe