Lek gebruikersgegevens levert Twitter aanklacht op in VS

Twitter is aangeklaagd wegens een hack waarbij de gegevens van meer dan 200 miljoen gebruikers zijn buitgemaakt. Volgens de man die de klacht vrijdag heeft ingediend bij de rechtbank in San Francisco waren de gegevens uit de systemen van Twitter te halen door een programmeerfout in een API (application programming interface) waarmee verschillende Twitter-systemen met elkaar communiceren.

Thijs DoorenboschMeer van deze auteur

datalek — © Shutterstock.com

Shutterstock.com

Sinds afgelopen maand circuleren berichten dat criminelen privacygevoelige gegevens van 200 tot 400 miljoen Twittergebruikers te koop aanbieden. Het gaat om e-mailadressen, telefoonnummers en gebruikersnamen. Onder de gegevens die in fora worden aangeboden zitten ook de gebruikersgegevens van degene die nu in Californië een rechtszaak heeft aangespannen. Het is de aanzet tot een zogeheten 'class action' rechtszaak waarbij ook andere gedupeerden zich kunnen aansluiten.

Maandenlang data vergaren

De aanklager Stephen Gerber stelt dat kwaadwillenden de fout in een API van Twitter hebben misbruikt om maandenlang de systemen van het social network te 'scrapen'. Hij verwijt Twitter bovendien te laks te zijn geweest met het informeren van gebruikers over het datalek. Hoewel het bedrag dat als schadevergoeding wordt geëist, niet bekend is, zegt Gerber in de aanklacht dat de schade kan oplopen tot 5 miljoen dollar.

Twitter ontkende in een blogpost vorige week naar aanleiding van te koop aangeboden gebruikersgegevens dat er sprake is van een recente digitale inbraak. Het bedrijf erkent dat er gegevens eerder zijn bemachtigd als gevolg van een softwarefout die heeft bestaan tussen juni 2021 en januari 2022. Na een software-update in juni 2021 kon iemand die een telefoonnummer of e-mailadres invoerde op het Twittersysteem, nagaan bij welk Twitteraccount de betreffende gegevens hoorden, als er zo'n account bestond. Nadat dit probleem was ontdekt is de onderliggende fout hersteld. Twitter zegt gebruikers al in augustus 2022 uitgebreid te hebben geïnformeerd over het probleem.

Miljoenen meer of minder

In de database die nu te verkoop wordt aangeboden, zitten de gegevens van 5,4 miljoen abonnees die zijn te herleiden tot de API-softwarefout. Daarnaast bevat de database echter nog gegevens van 400 miljoen gebruikers. Die zijn echter niet te correleren aan het betreffende API-probleem, maar ook niet aan een recente inbraak, zegt Twitter. Er circuleert overigens nog een andere database online met gegevens van 200 miljoen Twitter-gebruikers. Die dataset is eigenlijk een opgeschoonde versie van de database met 400 miljoen gebruikers, waarbij duplicaten zijn verwijderd.

Het overgrote deel van die gegevens in die database moet dus zijn verzameld via andere kanalen met publiekelijk beschikbare gegevens, stelt Twitter.

We were recently made aware of reports that Twitter user data was being sold online. After a comprehensive investigation, we found no evidence that this data originated from the exploitation of our systems. Read more here: https://t.co/4LnVG6gzae
— Twitter Support (@TwitterSupport) January 11, 2023