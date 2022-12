Die irische Datenschutzbehörde Data Protection Commission (DPC) hat eine Untersuchung eines Datenschutzvorfalls bei Twitter vom Sommer dieses Jahres eingeleitet, bei dem das Unternehmen vermutlich gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen hat. Dabei geht es um etwa 5,5 Millionen Twitter-Nutzerkonten, die ein Cyberkrimineller durch eine Sicherheitslücke im Anmeldeprozess Twitters ergattert (sogenanntes Scraping) und im Juli zum Verkauf angeboten hatte. Die Hacking-Plattform, auf der das Angebot auftauchte, bestätigte die Echtheit der vorgelegten Daten-'Probe'.

Sicherheitslücke womöglich bereits mehrfach ausgenutzt

Die geleakten Daten enthielten Twitter-Nutzer-IDs, denen E-Mail-Adressen und auch Telefonnummern der Nutzer zugeordnet waren, also personenbezogene Daten. Mehrere Medien berichteten darüber. Diese Berichte nahm die DPC nun zum Anlass, aus eigener Initiative gemäß Abschnitt 110 des Data Protection Act eine Untersuchung zu beginnen. Twitter hatte den Vorfall selbst pflichtgemäß als mögliche DSGVO-Verletzung an die DPC gemeldet; daraufhin hat die Behörde sich mit dem Unternehmen darüber ausgetauscht, schreibt die DPC in ihrer Mitteilung.

Twitter hatte als Ursache des Datenlecks eine Sicherheitslücke in seiner Software genannt. Diese Lücke war am 1. Januar 2022 bekannt und 5 Tage später von Twitter geschlossen worden. Das genügte einem unbekannten Akteur aber offenbar, um sich Zugriff auf ca. 5,5 Millionen Nutzerkonten zu verschaffen. Die DPC hat Twitter Fragen zu dem Vorfall geschickt, bereits Antworten erhalten und kommt nun zu dem Schluss, dass Twitter die DSGVO in einem oder mehreren Punkten verletzt haben könnte.

Die jetzt eingeleitete Untersuchung soll klären, inwieweit ein Datenschutzverstoß vorliegt und wie er zu ahnden wäre. Doch davon abgesehen droht Twitter aus derselben Lücke vom Januar noch weiterer Ärger – und in einer ganz anderen Größenordnung: Wie am ersten Weihnachtsfeiertag bekannt wurde, sind vermutlich auf demselben Weg Daten von etwa 400 Millionen Twitter-Nutzerkonten kopiert und kürzlich zum Verkauf angeboten worden. Ein Verstoß in dieser Größenordnung kann empfindlich teuer werden: Die DPC hatte erst im November dieses Jahres gegen den Konzern Meta ein Bußgeld von 265 Millionen Euro verhängt. Anlass war das Scraping von etwa 533 Millionen Nutzerdatensätzen bei Facebook.

(tiw)