Klíčové poznatky
- Americký soud rozhodl, že stahování veřejných dat z webů jako LinkedIn není nezákonné.
- Obhájci ochrany soukromí naznačují, že aktivitu lze použít k identifikaci nových cílů a doladění phishingových útoků.
-
Jediná možnost pro lidi je přestat sdílet, říkají odborníci.
Hackeři doslova škrábou na dno hlavně, aby doladili své útoky, a nyní mají požehnání soudů.
Devátý odvolací obvod USA rozhodl, že seškrabování veřejných dat není v rozporu se zákonem. Web scraping je technický termín pro extrakci informací z webové stránky. Když například zkopírujete nějaký text z článku jako citát, jedná se o škrábání. Vstoupí do legální šedé oblasti, když je seškrabování prováděno automatickými programy, které sbírají celé webové stránky, zejména ty, které obsahují osobní údaje, jako jsou jména a e-mailové adresy.
„Obrovské množství informací, které lze volně získat z internetu, znepokojuje jednotlivce i organizace, protože tyto informace [například] mohou útočníci snadno použít k lepšímu phishingu,“Rick McElroy, hlavní stratég kybernetické bezpečnosti ve společnosti VMware, řekl Lifewire e-mailem.
Dostaňte se do šrotu
Rozsudek přichází jako součást právní bitvy mezi LinkedIn a hiQ Labs, společností pro správu talentů, která využívá veřejná data z LinkedIn k analýze opotřebení zaměstnanců.
To není v souladu s profesionální sociální sítí, která dlouho tvrdila, že tato aktivita ohrožuje soukromí jejích uživatelů. LinkedIn dále tvrdí, že škrábání je v rozporu s jejími podmínkami služby a rovná se hackingu, jak je popsáno v zákoně o počítačových podvodech a zneužívání (CFAA).
Skupiny na ochranu soukromí, jako je Electronic Frontier Foundation (EFF) kritizovaly CAFA a tvrdily, že tři desetiletí starý zákon nebyl vytvořen s ohledem na citlivost internetové éry.
Jediným praktickým řešením pro jednotlivce, kteří se zajímají o soukromí, je přestat sdílet…
Ve své kritice EFF poznamenává, že se snaží, aby soudy a tvůrci politik pochopili, jak CAFA podkopala bezpečnostní výzkum. Zaměřuje se na LinkedIn ve svém pokusu o transformaci trestního zákona určeného k řešení vloupání do počítačů na nástroj k prosazování zásad používání firemních počítačů, v podstatě omezující volný a otevřený přístup k veřejně dostupným informacím.
LinkedIn nevidí webový scraping ve stejném světle. V prohlášení pro TechCrunch mluvčí LinkedIn Greg Snapper uvedl, že společnost je zklamaná rozhodnutím soudu a bude i nadále bojovat za ochranu schopnosti lidí kontrolovat informace, které zpřístupňují na LinkedIn. Snapper tvrdil, že společnosti není příjemné, když jsou data lidí odebírána bez povolení a používána způsoby, se kterými nesouhlasili.
Asking For Trouble
Zatímco hiQ zaujalo stanovisko, že rozhodnutí proti seškrabování dat by mohlo „hluboce ovlivnit otevřený přístup k internetu“, došlo k několika incidentům, kdy byla seškrabovaná data zpřístupněna na podzemních fórech pro nekalé účely.
V roce 2021 CyberNews sdílel, že aktérům hrozeb se podařilo získat data z více než 600 milionů uživatelských profilů na LinkedIn a dát je k prodeji za nezveřejněnou částku. Je pozoruhodné, že to bylo potřetí za poslední čtyři měsíce, kdy byla data získaná z veřejných profilů milionů uživatelů LinkedIn zveřejněna k prodeji.
CyberNews dodal, že ačkoli data nebyla hluboce citlivá, stále mohla uživatele vystavit riziku spamu a vystavit je phishingovým útokům. Podrobnosti by také mohly (zneužít) zneužít zlomyslní aktéři k rychlému a snadnému nalezení nových cílů.
Willy Leichter, CMO společnosti LogicHub, se domníval, že na obou stranách tohoto případu existují složité právní problémy a problémy s ochranou soukromí.
“[rozsudek] v podstatě kodifikuje způsob, jakým internet v praxi funguje [takže] pokud něco sdílíte veřejně, trvale ztrácíte výhradní kontrolu nad těmito daty, fotkami, náhodnými příspěvky nebo osobními informacemi,“varoval Leichter v e-mailové výměně s Lifewire. "Měli byste předpokládat, že bude zkopírován, archivován, zmanipulován nebo dokonce použit jako zbraň proti vám."
Leichter zastával názor, že i kdyby si lidé mohli prosadit určitou právní kontrolu nad daty zveřejněnými ve veřejné doméně, nebylo by možné ji vynutit a v žádném případě by to neodradilo od nekalých aktivit.
McElroy souhlasil a řekl, že rozsudek slouží jako skvělá připomínka toho, že by lidé měli omezit své veřejně přístupné informace, protože to je jediný skutečný dostupný prostředek, jak je ochránit před budoucími útoky.
„Jediným praktickým řešením pro jednotlivce, kteří se zajímají o soukromí, je přestat s nadměrným sdílením a pečlivě přemýšlet o všem, co zveřejníte,“navrhl Leichter.