Kluczowe dania na wynos
- Sąd USA orzekł, że zbieranie danych publicznych z witryn takich jak LinkedIn nie jest nielegalne.
- Zwolennicy prywatności sugerują, że aktywność ta może zostać wykorzystana do zidentyfikowania nowych celów i dostrojenia ataków phishingowych.
-
Jedyną opcją dla ludzi jest zaprzestanie nadmiernego udostępniania, mówią eksperci.
Hakerzy dosłownie ocierają się o dno beczki, aby dostroić swoje ataki, a teraz mają błogosławieństwo sądu.
Dziewiąty Okręg Apelacyjny Stanów Zjednoczonych orzekł, że zbieranie danych publicznych nie jest niezgodne z prawem. Web scraping to termin techniczny służący do wydobywania informacji ze strony internetowej. Na przykład, gdy kopiujesz tekst z artykułu jako cytat, to jest skrobanie. Wchodzi w legalną szarą strefę, gdy zdrapywanie jest wykonywane przez automatyczne programy, które zgarniają całe witryny internetowe, zwłaszcza te zawierające dane osobowe, takie jak nazwiska i adresy e-mail.
„Ogromna ilość informacji, które można swobodnie usuwać z Internetu, jest przedmiotem troski zarówno osób prywatnych, jak i organizacji, ponieważ informacje te [na przykład] mogą być łatwo wykorzystane przez atakujących, aby usprawnić ataki phishingowe”, Rick McElroy, główny strateg ds. cyberbezpieczeństwa w firmie VMware, powiedział Lifewire pocztą elektroniczną.
Wpadnij w zadrapanie
Wyrok jest częścią prawnej bitwy między LinkedIn a hiQ Labs, firmą zajmującą się zarządzaniem talentami, która wykorzystuje publiczne dane z LinkedIn do analizy odpływu pracowników.
To nie pasuje do profesjonalnej sieci społecznościowej, która od dawna twierdzi, że ta aktywność zagraża prywatności jej użytkowników. Ponadto LinkedIn twierdzi, że skrobanie jest sprzeczne z jego warunkami świadczenia usług i jest równoznaczne z włamaniem, jak opisano w ustawie o oszustwach i nadużyciach komputerowych (CFAA).
Grupy zajmujące się ochroną prywatności, takie jak Electronic Frontier Foundation (EFF), krytykowały CFAA, twierdząc, że prawo sprzed trzech dekad nie zostało sformułowane z myślą o wrażliwości ery internetu.
Jedynym praktycznym rozwiązaniem dla osób dbających o prywatność jest zaprzestanie nadmiernego udostępniania…
W swojej krytyce EFF zauważa, że stara się, aby sądy i decydenci zrozumieli, w jaki sposób CAFA podważyła badania nad bezpieczeństwem. Jego celem jest LinkedIn za próbę przekształcenia prawa karnego mającego zapobiegać włamaniom komputerowym w narzędzie do egzekwowania zasad korzystania z komputerów w firmie, co w istocie ogranicza swobodny i otwarty dostęp do publicznie dostępnych informacji.
LinkedIn nie postrzega web scrapingu w tym samym świetle. W oświadczeniu dla TechCrunch, rzecznik LinkedIn Greg Snapper, powiedział, że firma jest rozczarowana decyzją sądu i będzie nadal walczyć o ochronę zdolności ludzi do kontrolowania informacji, które udostępniają na LinkedIn. Snapper zapewnił, że firma nie czuje się komfortowo, gdy dane ludzi są pobierane bez pozwolenia i wykorzystywane w sposób, na który nie wyrazili zgody.
Pytanie o problem
Podczas gdy hiQ zajęło stanowisko, że orzeczenie przeciwko wykradaniu danych może „w znacznym stopniu wpłynąć na otwarty dostęp do Internetu”, miało miejsce kilka przypadków udostępnienia zeskrobanych danych na forach podziemnych w niecnych celach.
W 2021 r. CyberNews poinformowało, że cyberprzestępcom udało się zebrać dane z ponad 600 milionów profili użytkowników na LinkedIn, wystawiając je na sprzedaż za nieujawnioną kwotę. Warto zauważyć, że był to trzeci raz w ciągu ostatnich czterech miesięcy, kiedy dane zebrane z milionów publicznych profili użytkowników LinkedIn zostały wystawione na sprzedaż.
CyberNews dodał, że chociaż dane nie były szczególnie wrażliwe, nadal mogą narażać użytkowników na spam i narażać ich na ataki phishingowe. Szczegóły mogą być również (nad)używane przez złośliwych aktorów do szybkiego i łatwego znajdowania nowych celów.
Willy Leichter, dyrektor ds. marketingu firmy LogicHub, uważa, że po obu stronach tej sprawy występują trudne kwestie prawne i dotyczące prywatności.
„[Orzeczenie] zasadniczo kodyfikuje sposób działania Internetu w praktyce [więc] jeśli udostępniasz coś publicznie, na stałe tracisz wyłączną kontrolę nad tymi danymi, zdjęciami, przypadkowymi postami lub danymi osobowymi” – ostrzega Leichter w wymianie e-maili z Lifewire. "Powinieneś założyć, że zostanie skopiowany, zarchiwizowany, zmanipulowany, a nawet użyty przeciwko tobie."
Leichter wyraził opinię, że nawet gdyby ludzie mogli przejąć kontrolę prawną nad danymi publikowanymi w domenie publicznej, nie byłoby możliwe ich egzekwowanie, a w żadnym wypadku nie zniechęciłoby to do nikczemnej działalności.
McElroy zgodził się, mówiąc, że orzeczenie służy jako doskonałe przypomnienie, że ludzie powinni ograniczyć swoje publicznie dostępne informacje, ponieważ jest to jedyna dostępna droga ochrony przed przyszłymi atakami.
„Jedynym praktycznym rozwiązaniem dla osób, którym zależy na prywatności, jest zaprzestanie nadmiernego udostępniania i dokładne przemyślenie wszystkiego, co publikujesz publicznie”, zasugerował Leichter.
