Ierse privacywaakhond onderzoekt Twitter-datalek 5,4 miljoen gebruikers

De Ierse privacywaakhond Data Protection Commission start een onderzoek naar een datalek bij Twitter. Daarbij zijn de e-mailadressen en telefoonnummers van rond de 5,4 miljoen gebruikers door hackers naar buiten gebracht.

DPC onderzoekt of Twitter met het datalek van 'een of meerdere datasets' enkele bepalingen van de AVG heeft geschonden. Als dit het geval blijkt, kan de waakhond het socialmediabedrijf een boete opleggen. Boetes voor het overtreden van dit soort privacyregels bedragen maximaal vier procent van de jaaromzet.

Het datalek vond plaats vóór de overname van Tesla-topman Elon Musk eind oktober. Eerder dit jaar werden de persoonsgegevens van de Twitter-gebruikers voor 30.000 dollar te koop aangeboden op een hackforum. De data werd verkregen via een api-kwetsbaarheid, die in januari door Twitter werd verholpen.

Daarnaast onthulde beveiligingsexpert Chad Loder dat er mogelijk nog meer persoonlijke gegevens zijn verzameld met behulp van de eerder opgeloste api-bug, zoals accountnamen, bio's, schermnamen, Twitter-ID's en verificatiebadges.

Door Sabine Schults

Redacteur

23-12-2022 • 19:44

19

Reacties (19)

Sorteer op:

Weergave:

Ligt het aan mij of zijn er steeds meer lekken via API's? Het wordt in ieder geval steeds belangrijker om je data te anonimiseren en goed te beveiligen. Ik ben nu al een tijd bezig om alle emailadressen aan te passen naar aliassen, maar het kost enorm veel tijd als je al jaren op het internet zit en honderden accounts hebt.
En hoe zie je dat juist, die aliassen?

* Als je overal baardmeester+naamvandesite@gmail.com gebruikt weten ze alsnog wie je bent
* Als je overal naamvandesite@baardmeester.com gebruikt, weten ze alsnog wie je bent
Via een service zoals Simplelogin of AnonAddy. Dan krijg je aliassen zoals alias.randomwoord@simplelogin.com of een van de andere domeinen die je kunt kunt kiezen. Je kunt dan ook replyen via de service richting mocht dat nodig zijn bijvoorbeeld richting een webshop.
Moet je er wel op vertrouwen dat deze diensten de link met jouw echte e-mail slechts kortdurend opslaan. En dat ze de data niet nu al ongemerkt lekken.
Het zijn diensten die van premium abonnementen leven en als zoiets wordt opgemerkt kunnen ze de tent wel sluiten. Simplelogin is overigens ook begin dit jaar overgenomen door Proton.
In het eerste geval is het inderdaad heel simpel om te weten wie je bent :)
Het tweede geval is een beetje specifieker en komt m.i. veel minder voor, ik denk niet dat ze hier echt moeite voor gaan doen om deze eruit te vissen.

Het grootste voordeel van aliassen is dat het moeilijker wordt om die data te misbruiken op andere platformen. Als je "naamvandesite" namelijk een beetje inconsistent gebruikt dan wordt het ook al moeilijker om je e-mail adres op een ander platform correct te gokken (in geval van password stuffing attacks). Het andere voordeel van aliassen is dat als ze de moeite niet doen om ze eraf te halen, je een trace hebt naar de oorsprong van een lek (als ik spam zou krijgen van ikke+tweakers.net@whatevermail.com dan weet ik dat tweakers een datalek heeft).

Het grootste nadeel van heel die aliassen is dat HaveIBeenPowned hier niet mee overweg kan :(

//edit: voor de rest, als het voor één dingetje is zijn er altijd genoeg temporary e-mail services en BugMeNot om login-walls te omzeilen :+

[Reactie gewijzigd door Hardfreak op 23 juli 2024 13:14]

Het grootste nadeel van heel die aliassen is dat HaveIBeenPowned hier niet mee overweg kan :(
Als je voor naamvandesite@baardmeester.com gaat, kun je op HIBP een domain search doen en jezelf subscriben op leaks op domeinniveau:
https://haveibeenpwned.com/DomainSearch

[Reactie gewijzigd door Sandro! op 23 juli 2024 13:14]

Api's zijn er juist voor om snel data te verkrijgen of uit te wisselen (simpel voorbeeld een webshop die een status ontvangt met dat de betaling gelukt is), maar als de api niet secure is ingesteld of totaal geen controle op plaatsvindt met wat iemand oproept dan is het dweilen met de kraan open.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 13:14]

Je kan ook bij apple kiezen voor 'verberg mijn email adres' dit kan je per app/site doen.

Je krijgt dan voor elke site een specifieke email adres
Waarom zou DGP media bullshitverhaaltjes moeten publiceren? Dat ze zich maar bezig houden met de realiteit.
Heb je wel eens op nu.nl gekeken. Daar staan de meest vreselijke artikelen, dus dit zou daar ook wel bij kunnen
Is dit het nieuwe "epstein didnt kill himself" dat sommige overal rondbazuinen?
EN tuurlijk dat ze ervan gehoord hebben en bekeken hebben en gezien dat zelfs de zorgvuldig geslecteerde delen die ze vrijgeven zo goed als niks bevatten buiten: twitter had moderatie. ja duh.

[Reactie gewijzigd door k995 op 23 juli 2024 13:14]

Een prive bedrijf dat binnen de wetgeving handelt? Lol ja wat kan
Iemand daar tegen hebben?

Op dit item kan niet meer gereageerd worden.