De Ierse Data Protection Commission start een onderzoek naar een datalek bij Twitter in november. Het socialemediabedrijf heeft waarschijnlijk de GDPR-regels geschonden.
Eind november verscheen een dataset met gegevens van 5,4 miljoen Twitter-gebruikers op het hackersforum Breach Forums. De dataset bevatte onder meer mailadressen, telefoonnummers en profielgegevens die de hackers van de accounts hadden geschraapt. Een dataset die op 23 december publiek ging, claimt zelfs de gegevens van 400 miljoen gebruikers te bevatten.
Het datalek blijft vermoedelijk niet zonder gevolgen voor Twitter. Een onderzoek is opgestart in Ierland, waar het Europese hoofdkantoor gevestigd is.
Schending GDPR
De Ierse privacyautoriteit DPC is nu al van mening dat Twitter de Europese en Britse privacywetten geschonden heeft door hoe ze met het datalek zijn omgegaan. Vermoedelijk zijn de gegevens buitgemaakt in december 2021. Een kwetsbaarheid in een api die door een misgelopen software-update in juni 2021 ontstaan was, gaf hackers vrije toegang tot de verborgen informatie van gebruikersprofielen.
Twitter werd hier begin 2022 van op de hoogte gebracht, waarna het snel een patch uitrolde om het lek te dichten. Echter communiceerde het bedrijf pas in augustus over het lek, nadat de eerste datasets met de gegevens online verschenen. De GDPR-wetgeving verplicht bedrijven om betrokken partijen zo snel mogelijk op de hoogte te brengen van een beveiligingsincident.
Bevestigt het onderzoek van DPC de vermoedens, dan staat Twitter ongetwijfeld een sanctie te wachten. Twitter kwam in 2020 al eens in aanraking met de privacywetgeving nadat het bedrijf een boete van 540.000 euro opgelegd kreeg door een bug in de Android-app die verborgen tweets publiek zichtbaar maakte. Ook toen liet Twitter na om tijdig te communiceren.
Datalekken zijn schering en inslag
Nieuws over grootschalige datalekken waren weer een constante in 2022. Ook in ons land vallen ze regelmatig voor: recent haalde beveiligingsincidenten bij de stad Antwerpen en Belfius de krantenkoppen. Al is het bij die laatste nog niet duidelijk of de bank een beschuldigende vinger moet krijgen.
Organisaties doen maar beter hun best om datalekken te voorkomen. Het kostenplaatje van een datalek loopt steeds verder op. Acronis schat de gemiddelde kost van een datalek op 5 miljoen euro in 2023.