Kľúčové poznatky
- Americký súd rozhodol, že zoškrabávanie verejných údajov z webových stránok ako LinkedIn nie je nezákonné.
- Zástancovia ochrany osobných údajov naznačujú, že aktivitu možno použiť na identifikáciu nových cieľov a doladenie phishingových útokov.
-
Jediná možnosť pre ľudí je zastaviť nadmerné zdieľanie, hovoria odborníci.
Hackeri doslova škrabú na dne hlavne, aby doladili svoje útoky, a teraz majú požehnanie súdov.
Deviaty odvolací okruh USA rozhodol, že zoškrabovanie verejných údajov nie je v rozpore so zákonom. Web scraping je technický termín pre extrakciu informácií z webovej stránky. Napríklad, keď skopírujete nejaký text z článku ako citát, ide o zoškrabovanie. Vstúpi do právnej šedej oblasti, keď zoškrabovanie vykonávajú automatické programy, ktoré zoškrabávajú celé webové stránky, najmä tie, ktoré obsahujú osobné informácie, ako sú mená a e-mailové adresy.
„Veľké množstvo informácií, ktoré možno voľne stiahnuť z internetu, znepokojuje jednotlivcov aj organizácie, pretože tieto informácie [napríklad] môžu útočníci ľahko použiť na zlepšenie phishingových útokov,“Rick McElroy, hlavný stratég kybernetickej bezpečnosti vo VMware, povedal Lifewire e-mailom.
Dostať sa do šrotu
Rozhodnutie prichádza ako súčasť právnej bitky medzi LinkedIn a hiQ Labs, spoločnosťou zaoberajúcou sa manažmentom talentov, ktorá využíva verejné údaje z LinkedIn na analýzu opotrebovania zamestnancov.
To nie je v súlade s profesionálnou sociálnou sieťou, ktorá už dlho tvrdí, že táto aktivita ohrozuje súkromie jej používateľov. Okrem toho LinkedIn tvrdí, že zoškrabovanie je v rozpore s jej zmluvnými podmienkami a predstavuje hacking, ako je opísané v zákone o počítačových podvodoch a zneužívaní (CFAA).
Skupiny obhajujúce súkromie, ako napríklad Electronic Frontier Foundation (EFF), kritizovali CAFA a tvrdili, že tri desaťročia starý zákon nebol zostavený s ohľadom na citlivosť internetového veku.
Jediným praktickým riešením pre jednotlivcov, ktorým záleží na súkromí, je zastaviť nadmerné zdieľanie…
Vo svojej kritike EFF poznamenáva, že sa snaží, aby súdy a tvorcovia politiky pochopili, ako CAFA podkopala bezpečnostný výskum. Zameriava sa na LinkedIn pri pokuse o transformáciu trestného zákona, ktorý má riešiť vlámanie do počítačov, na nástroj na presadzovanie zásad používania podnikových počítačov, v podstate obmedzujúcich voľný a otvorený prístup k verejne dostupným informáciám.
LinkedIn nevníma zoškrabovanie webu v rovnakom svetle. Vo vyhlásení pre TechCrunch hovorca LinkedIn Greg Snapper uviedol, že spoločnosť je sklamaná rozhodnutím súdu a bude pokračovať v boji za ochranu schopnosti ľudí kontrolovať informácie, ktoré sprístupňujú na LinkedIn. Snapper tvrdil, že spoločnosti nie je príjemné, keď sa údaje ľudí berú bez povolenia a používajú sa spôsobmi, s ktorými nesúhlasili.
Asking For Trouble
Zatiaľ čo hiQ zaujalo stanovisko, že rozsudok proti zoškrabávaniu údajov by mohol „hlboko ovplyvniť otvorený prístup k internetu“, došlo k niekoľkým incidentom sprístupnenia zoškrabaných údajov na podzemných fórach na nekalé účely.
V roku 2021 CyberNews zdieľali, že aktérom hrozieb sa podarilo zoškrabať údaje z viac ako 600 miliónov používateľských profilov na LinkedIn a dať ich na predaj za nezverejnenú sumu. Je pozoruhodné, že to bolo už tretíkrát za posledné štyri mesiace, kedy boli údaje získané z verejných profilov miliónov používateľov LinkedIn zverejnené na predaj.
CyberNews dodal, že hoci údaje neboli príliš citlivé, mohli by používateľov vystaviť riziku spamu a vystaviť ich phishingovým útokom. Podrobnosti by tiež mohli (zneužiť) zneužiť zlomyseľní aktéri na rýchle a jednoduché nájdenie nových cieľov.
Willy Leichter, CMO spoločnosti LogicHub, je presvedčený, že na oboch stranách tohto prípadu existujú zložité právne problémy a problémy so súkromím.
“[Rozsudok] v podstate kodifikuje spôsob, akým internet v praxi funguje [takže] ak niečo zdieľate verejne, natrvalo ste stratili výhradnú kontrolu nad týmito údajmi, fotografiami, náhodnými príspevkami alebo osobnými informáciami,“varoval Leichter v e-mailovej výmene s Lifewire. "Mali by ste predpokladať, že to bude skopírované, archivované, zmanipulované alebo dokonca použité ako zbraň proti vám."
Leichter zastával názor, že aj keby si ľudia mohli uplatniť určitú právnu kontrolu nad údajmi zverejnenými vo verejnej sfére, nebolo by možné ju vynútiť a v žiadnom prípade by to neodradilo od nekalej činnosti.
McElroy súhlasil a povedal, že rozsudok slúži ako skvelá pripomienka toho, že ľudia by mali obmedziť svoje verejne dostupné informácie, pretože to je jediný skutočný dostupný prostriedok na ich ochranu pred budúcimi útokmi.
„Jediným praktickým riešením pre jednotlivcov, ktorí sa zaujímajú o súkromie, je prestať s nadmerným zdieľaním a dôkladne si premyslieť čokoľvek, čo uverejníte,“navrhol Leichter.
