Recomandări cheie
- Un tribunal din SUA a decis că eliminarea datelor publice de pe site-uri web precum LinkedIn nu este ilegală.
- Procuratorii confidențialității sugerează că activitatea poate fi folosită pentru a identifica noi ținte și pentru a ajusta atacurile de tip phishing.
-
Singura opțiune pentru oameni este să înceteze distribuirea excesivă, spun experții.
Hackeri răzuiesc practic partea de jos a butoiului pentru a-și regla atacurile, iar acum au binecuvântarea instanțelor.
Al nouălea circuit de apel din SUA a decis că eliminarea datelor publice nu este împotriva legii. Web scraping este termenul tehnic pentru extragerea de informații de pe un site web. De exemplu, atunci când copiați un text dintr-un articol sub formă de citat, aceasta este răzuire. Acesta intră într-o zonă gri legală atunci când scraping-ul este efectuat de programe automate care răzuiesc site-uri web întregi, în special cele care dețin informații personale, cum ar fi nume și adrese de e-mail.
„Vantitatea masivă de informații care poate fi extrasă în mod liber de pe internet reprezintă o preocupare atât pentru persoane, cât și pentru organizații, deoarece aceste informații [de exemplu] pot fi folosite cu ușurință de către atacatori pentru a ajuta la îmbunătățirea atacurilor de tip phishing”, Rick McElroy, Strategist principal pentru securitate cibernetică la VMware, a declarat pentru Lifewire prin e-mail.
Get Into a Scrape
Decizia vine ca parte a unei bătălii juridice dintre LinkedIn și hiQ Labs, o companie de management al talentelor care utilizează date publice de la LinkedIn pentru a analiza uzura angajaților.
Acest lucru nu se potrivește rețelei sociale profesionale, care a susținut de mult timp că activitatea amenință confidențialitatea utilizatorilor săi. În plus, LinkedIn susține că scraping-ul contravine termenilor săi și echivalează cu hacking, așa cum este descris în Legea privind frauda și abuzul informatic (CFAA).
Grupurile de susținere a confidențialității, cum ar fi Electronic Frontier Foundation (EFF), au criticat CFAA, declarând că legea veche de trei decenii nu a fost concepută ținând cont de sensibilitățile erei internetului.
Singura soluție practică pentru persoanele preocupate de confidențialitate este să înceteze distribuirea excesivă…
În criticile sale, EFF observă că se străduiește să facă instanțele și factorii de decizie să înțeleagă modul în care CFAA a subminat cercetarea în materie de securitate. Acesta vizează LinkedIn pentru încercarea sa de a transforma o lege penală menită să abordeze spargerile de computere într-un instrument de aplicare a politicilor corporative de utilizare a computerelor, în esență, restricționând accesul liber și deschis la informațiile disponibile publicului.
LinkedIn nu vede web scraping în aceeași lumină. Într-o declarație pentru TechCrunch, purtătorul de cuvânt al LinkedIn, Greg Snapper, a declarat că compania este dezamăgită de decizia instanței și va continua să lupte pentru a proteja capacitatea oamenilor de a controla informațiile pe care le pun la dispoziție pe LinkedIn. Snapper a afirmat că compania nu se simte confortabil când datele oamenilor sunt preluate fără permisiune și folosite în moduri cu care nu au fost de acord.
Solicitarea unei probleme
În timp ce hiQ a luat atitudine că o hotărâre împotriva scraping-ului de date ar putea „afecta profund accesul deschis la Internet”, au existat mai multe incidente în care datele scraped au fost puse la dispoziție pe forumuri subterane în scopuri nefaste.
În 2021, CyberNews a spus că actorii amenințărilor au reușit să culeagă date din peste 600 de milioane de profiluri de utilizatori de pe LinkedIn, punându-le la vânzare pentru o sumă nedezvăluită. În special, aceasta a fost pentru a treia oară în ultimele patru luni când datele extrase de la milioane de profiluri publice ale utilizatorilor LinkedIn au fost postate spre vânzare.
CyberNews a adăugat că, deși datele nu sunt profund sensibile, ar putea expune utilizatorii în continuare la riscul de spam și îi pot expune atacurilor de tip phishing. Detaliile ar putea fi (ab)utilizate și de actori rău intenționați pentru a găsi rapid și ușor noi ținte.
Willy Leichter, CMO al LogicHub, a considerat că există probleme legale și de confidențialitate dificile de ambele părți ale acestui caz.
„[Decizia] codifică practic modul în care funcționează internetul în practică [deci], dacă distribuiți ceva public, ați pierdut permanent controlul exclusiv asupra datelor, fotografiilor, postărilor aleatorii sau informațiilor personale”, a avertizat Leichter într-un schimb de e-mail cu Lifewire. „Ar trebui să presupui că va fi copiat, arhivat, manipulat sau chiar armat împotriva ta.”
Leichter a opinat că, chiar dacă oamenii ar putea exercita un anumit control legal asupra datelor postate în domeniul public, ar fi imposibil să-l pună în aplicare și nu ar descuraja activitatea nefastă în niciun caz.
McElroy a fost de acord, spunând că hotărârea servește ca un excelent reamintire că oamenii ar trebui să-și limiteze informațiile accesibile publicului, deoarece aceasta este singura soluție reală disponibilă pentru a-i proteja de atacuri viitoare.
„Singura soluție practică pentru persoanele preocupate de confidențialitate este să înceteze distribuirea excesivă și să se gândească cu atenție la orice postați public”, a sugerat Leichter.
