[English]Nachdem über eine API-Schwachstelle 5,4 Millionen Nutzerdaten von Twitter-Nutzern bzw. Konten durch Hacker abgegriffen und dann in einem Hackerforum geteilt wurden, werden auch die Datenschützer aktiv. Die für Twitter in Europa zuständige Datenschutzbehörde in Irland hat am 23. Dezember 2022 die Einleitung eines förmlichen Untersuchungsverfahrens gegen Twitter angekündigt. Ergänzung: Die Datenschutzbehörde wird einem Bericht nach die Untersuchung auf das neue Datenleck mit 400 Millionen Nutzerdaten ausweiten.
Der Twitter-Hack
Bei Twitter gab es eine Schwachstelle im API, über das unbefugte Dritte die Daten von Twitter-Konten abrufen konnten. Die Schwachstelle wurde im Januar 2022 zwar behoben. Es ist aber Cyberkriminellen gelungen, diese Schwachstelle vorher auszunutzen und Daten zu sammeln. Von einem Sicherheitsforscher wurde in diesem Zusammenhang ein massives Datenleck aufgedeckt. Die Daten von 5,4 Millionen Twitter-Konten wurden abgezogen und in einem Hackerforum geteilt. Die Daten bestehen aus abgegriffenen öffentlichen Informationen sowie aus privaten Telefonnummern und E-Mail-Adressen, die nicht für die Öffentlichkeit bestimmt sind. Ich hatte im Blog-Beitrag Datenleck: 5,4 Millionen geklaute Twitter-Kontendaten kostenlos in Hackerforum geteilt berichtet.
Irische Datenschutzbehörde untersucht
In einer Meldung vom 23. Dezember 2022 kündigt die irische Datenschutzbehörde (Irish Data Protection Commission, DPC) eine förmliche Untersuchung des Vorfalls an. Es heißt, dass die Datenschutzkommission („DPC“) eine Untersuchung gemäß Abschnitt 110 des Data Protection Act 2018 eingeleitet habe. Die Untersuchung wurde angestoßen, nachdem in mehreren internationalen Medienberichten darauf hingewiesen wurde, dass ein oder mehrere gesammelte Datensätze mit personenbezogenen Daten von Twitter-Nutzern im Internet zur Verfügung gestellt worden sind.
Diese Datensätze enthielten Berichten zufolge, so die DPC, personenbezogene Daten von etwa 5,4 Millionen Twitter-Nutzern weltweit. In den Datensätzen wurden den Berichten zufolge Twitter-IDs E-Mail-Adressen und/oder Telefonnummern der betroffenen Personen zugeordnet.
Der Datenschutzbeauftragte korrespondierte mit Twitter International Unlimited Company („TIC“) in Bezug auf die gemeldete Verletzung des Schutzes personenbezogener Daten. Die DPC stellte dann nach Prüfung der von Twitter in dieser Angelegenheit bisher vorgelegten Informationen fest, dass möglicherweise eine oder mehrere Bestimmungen der Allgemeinen Datenschutzverordnung (DSGVO) der EU durch das Datenleck verletzt wurden.
Dementsprechend hält es der Datenschutzbeauftragte für angemessen, festzustellen, ob der TIC seinen Verpflichtungen als für die Verarbeitung Verantwortlicher im Zusammenhang mit der Verarbeitung personenbezogener Daten seiner Nutzer nachgekommen ist oder ob der TIC in dieser Hinsicht gegen eine oder mehrere Bestimmungen der DSGVO und/oder des Gesetzes verstoßen hat und/oder verstößt.
Ausweitung der Untersuchung
Ergänzung: In der Zwischenzeit wurde ja ein zweiter Datenschutzvorfall bei Twitter bekannt. Einem Angreifer ist es wohl gelungen, mutmaßlich über eine im Januar 2022 geschlossene Schwachstelle um die 400 Millionen Benutzerdaten abzugreifen. Diese Datensätze stehen in Untergrundforen zum Verkauf – und der Verkäufer insistierte bei Elon Musk und Twitter, die Daten zu kaufen, um einen DSGVO-Vorfall zu vermeiden (siehe Twitter-Daten von 400 Millionen Nutzern angeblich abgezogen und stehen im Darknet zum Verkauf).
Nun läuft ja bereits die Untersuchung der irishen DPC gegen Twitter wegen des obigen Datenschutzvorfalls. Gegenüber der britischen BBC hat die irische Datenschutzbehörde in einer Erklärung angegeben, die Untersuchung auch auf das neue Datenleck mit 400 Millionen Nutzerdaten auszuweiten. Dazu zitiert die BBC die irische DPC:
Berichten zufolge wurden jetzt einige zusätzliche Datensätze im Dark Web zum Verkauf angeboten. Die DPC hat Twitter in diese Untersuchung einbezogen und wird die Einhaltung der Datenschutzgesetze durch Twitter in Bezug auf dieses Sicherheitsproblem prüfen.
Das könnte für Twitter ein Problem werden – denn unabhängig vom Kauf der geleakten Daten gab es einen DSGVO-Verstoß. Die irische DPC hatte im November 2022 eine Strafe in Höhe von 265 Millionen gegen Meta, den Mutterkonzern von Facebook, verhängt (siehe Irische DPC verhängt nach Datenschutzvorfall 265 Millionen Euro Geldbuße gegen Meta/Facebook). Das ist die Folge eines Datenschutzvorfalls (siehe Beitrag Hacker publiziert 533 Millionen Telefonnummern von Facebook-Nutzern(, bei dem Millionen Daten von Facebook-Benutzern bis September 2019 über Tools von den Systemen des Unternehmens abgezogen wurden. Im April 2021 leitete die irische Datenschutzbehörde dann eine formelle Untersuchung ein und schloss diese im November 2022 ab.
Darüber hinaus gibt es eine zweite Baustelle, die für Twitter dräut. In diesem Kommentar zum Beitrag Twitter-Daten von 400 Millionen Nutzern angeblich abgezogen und stehen im Darknet zum Verkauf hatte ich erwähnt, dass Meta im Facebook Cambridge Analytica-Skandal durch eine US-Sammelklage überzogen wurde. In einem Vergleich hat Meta zugestimmt, 725 Mio. US-Dollar zu zahlen und damit die Sammelklage beizulegen. Ich gehe davon aus, dass Twitter ebenfalls mit einer Sammelklage wegen der obigen Vorfälle überzogen wird.
Ich lösche mich!
Ihr Account würde ja schon reichen …