The digitization of every aspect of everyday life entails the constant increase in the types of services that can be used in the digital environment, to which users, due to contractual requirements, find themselves having to provide personal data. The paper aims to analyze the case of Twilio, a California-based company that offers a multiplicity of communication and authentication services, through API web services. Recently, the company has been affected by a massive data leakage of users of its services. The thesis performs a dissection of the technical and operational aspects of cloud-based communication platforms and APIs, analyzing the data breach from technical and legal perspectives. Possible threats related to the breach are also identified, such as, for example, phishing and smishing. Next, the regulatory framework and liability for data breach in the U.S. approach is discussed, and in particular the California legislation contained in the CPRA (California Privacy Right Act) and CCPA (California Consumer Privacy Act). An examination of the case in light of the European context is then proposed, with consideration of the regulatory framework arising from the GDPR and the guidance provided by the EDPB (European Data Protection Board) and the Italian Garante della Privacy. Finally, some food for thought for the future is offered in light of the Twilio case. In particular, we focus on some practical proposals aimed at increasing the security and protection of personal data for those who use these services, also considering the landscape of artificial intelligence and machine learning tools.

La digitalizzazione di ogni aspetto della quotidianità comporta il costante incremento delle tipologie di servizi fruibili nel contesto digitale, ai quali gli utenti, per esigenze contrattuali, si trovano a fornire dati personali. L'elaborato si propone di analizzare il caso di Twilio, un’azienda californiana che offre una molteplicità di servizi di comunicazione e autenticazione, attraverso servizi web API. Recentemente, l’azienda è stata interessata da una massiva fuga di dati degli user dei propri servizi. La tesi effettua una disanima degli aspetti tecnici e di funzionamento delle piattaforme di comunicazione basate su cloud e degli API, analizzando il data breach dal punto di vista tecnico e legale. Vengono altresì individuate le possibili minacce connesse al breach, come, ad esempio, phishing e smishing. Successivamente, viene discusso il quadro normativo e la responsabilità per data breach nell'approccio statunitense, ed in particolare nella legislazione californiana contenuta nel CPRA (California Privacy Right Act) e CCPA (California Consumer Privacy Act). È poi proposta una disamina del caso alla luce del contesto europeo, con considerazione dell’assetto normativo derivante dal GDPR e delle direttive fornite dalla EDPB (European Data Protection Board) e dal Garante della Privacy italiano. Da ultimo, si propongono alcuni spunti di riflessione per il futuro alla luce del caso Twilio. In particolare, ci si sofferma su alcune proposte pratiche volte ad aumentare la sicurezza e tutela dei dati personali per chi usufruisce di questi servizi, anche considerando il panorama dell'intelligenza artificiale e gli strumenti di machine learning.

"Il caso Twilio: data breach e sicurezza delle API alla luce della normativa californiana ed europea".

FABRIS, ALBERTO
2023/2024

Abstract

The digitization of every aspect of everyday life entails the constant increase in the types of services that can be used in the digital environment, to which users, due to contractual requirements, find themselves having to provide personal data. The paper aims to analyze the case of Twilio, a California-based company that offers a multiplicity of communication and authentication services, through API web services. Recently, the company has been affected by a massive data leakage of users of its services. The thesis performs a dissection of the technical and operational aspects of cloud-based communication platforms and APIs, analyzing the data breach from technical and legal perspectives. Possible threats related to the breach are also identified, such as, for example, phishing and smishing. Next, the regulatory framework and liability for data breach in the U.S. approach is discussed, and in particular the California legislation contained in the CPRA (California Privacy Right Act) and CCPA (California Consumer Privacy Act). An examination of the case in light of the European context is then proposed, with consideration of the regulatory framework arising from the GDPR and the guidance provided by the EDPB (European Data Protection Board) and the Italian Garante della Privacy. Finally, some food for thought for the future is offered in light of the Twilio case. In particular, we focus on some practical proposals aimed at increasing the security and protection of personal data for those who use these services, also considering the landscape of artificial intelligence and machine learning tools.
2023
"The Twilio case: data breach and API's safety in light of California and European regulation"
La digitalizzazione di ogni aspetto della quotidianità comporta il costante incremento delle tipologie di servizi fruibili nel contesto digitale, ai quali gli utenti, per esigenze contrattuali, si trovano a fornire dati personali. L'elaborato si propone di analizzare il caso di Twilio, un’azienda californiana che offre una molteplicità di servizi di comunicazione e autenticazione, attraverso servizi web API. Recentemente, l’azienda è stata interessata da una massiva fuga di dati degli user dei propri servizi. La tesi effettua una disanima degli aspetti tecnici e di funzionamento delle piattaforme di comunicazione basate su cloud e degli API, analizzando il data breach dal punto di vista tecnico e legale. Vengono altresì individuate le possibili minacce connesse al breach, come, ad esempio, phishing e smishing. Successivamente, viene discusso il quadro normativo e la responsabilità per data breach nell'approccio statunitense, ed in particolare nella legislazione californiana contenuta nel CPRA (California Privacy Right Act) e CCPA (California Consumer Privacy Act). È poi proposta una disamina del caso alla luce del contesto europeo, con considerazione dell’assetto normativo derivante dal GDPR e delle direttive fornite dalla EDPB (European Data Protection Board) e dal Garante della Privacy italiano. Da ultimo, si propongono alcuni spunti di riflessione per il futuro alla luce del caso Twilio. In particolare, ci si sofferma su alcune proposte pratiche volte ad aumentare la sicurezza e tutela dei dati personali per chi usufruisce di questi servizi, anche considerando il panorama dell'intelligenza artificiale e gli strumenti di machine learning.
Data breach
Twilio
California law
EU regulation
Security
File in questo prodotto:
File Dimensione Formato  
Fabris_Alberto.pdf

accesso aperto

Dimensione 492.91 kB
Formato Adobe PDF
492.91 kB Adobe PDF Visualizza/Apri

The text of this website © Università degli studi di Padova. Full Text are published under a non-exclusive license. Metadata are under a CC0 License

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/20.500.12608/75582