Ключови изводи
- Съд на САЩ постанови, че извличането на публични данни от уебсайтове като LinkedIn не е незаконно.
- Застъпниците на поверителността предполагат, че дейността може да се използва за идентифициране на нови цели и фина настройка на фишинг атаките.
-
Единствената възможност за хората е да спрат да споделят повече, казват експерти.
Хакерите буквално стържат дъното на цевта, за да настроят фино своите атаки, и сега имат благословията на съдилищата.
Девети апелативен съд на САЩ постанови, че изтриването на публични данни не е против закона. Уеб скрапинг е техническият термин за извличане на информация от уебсайт. Например, когато копирате някакъв текст от статия като цитат, това е скрапинг. Той навлиза в правна сива зона, когато сканирането се извършва от автоматизирани програми, които сканират цели уебсайтове, особено тези, които съдържат лична информация, като имена и имейл адреси.
"Огромното количество информация, която може свободно да бъде изкопана от интернет, е от значение както за отделни лица, така и за организации, тъй като тази информация [например] може лесно да бъде използвана от нападателите, за да подобрят фишинг атаките", Рик МакЕлрой, главен стратег по киберсигурност във VMware, каза пред Lifewire по имейл.
Попаднете в скрап
Решението идва като част от съдебна битка между LinkedIn и hiQ Labs, компания за управление на таланти, която използва публични данни от LinkedIn, за да анализира изтичането на служители.
Това не се харесва на професионалната социална мрежа, която отдавна твърди, че дейността застрашава поверителността на нейните потребители. Освен това LinkedIn твърди, че изтриването е в противоречие с условията на услугата и представлява хакерство, както е описано в Закона за компютърни измами и злоупотреби (CFAA).
Групи за защита на поверителността като Electronic Frontier Foundation (EFF) са критични към CFAA, заявявайки, че законът от три десетилетия не е формулиран с оглед на чувствителността на ерата на интернет.
Единственото практическо решение за хората, загрижени за поверителността, е да спрат да споделят прекалено много…
В своята критика EFF отбелязва, че се стреми да накара съдилищата и политиците да разберат как CAFA подкопава изследванията в областта на сигурността. Той е насочен към LinkedIn заради опита му да трансформира наказателно законодателство, предназначено да се справи с проникването на компютри в инструмент за прилагане на корпоративни политики за използване на компютри, като по същество ограничава свободния и отворен достъп до публично достъпна информация.
LinkedIn не разглежда уеб скрапинга в същата светлина. В изявление за TechCrunch, говорителят на LinkedIn Грег Снапър каза, че компанията е разочарована от решението на съда и ще продължи да се бори, за да защити способността на хората да контролират информацията, която предоставят на LinkedIn. Snapper твърди, че компанията не се чувства комфортно, когато данните на хората се вземат без разрешение и се използват по начини, с които те не са се съгласили.
Искане за проблеми
Въпреки че hiQ зае позицията, че решение срещу изкопчаването на данни може да „засегне дълбоко свободния достъп до интернет“, имаше няколко случая на изчерпани данни, които бяха предоставени на подземни форуми за нечестиви цели.
През 2021 г. CyberNews сподели, че заплахите са успели да изкопчат данни от над 600 милиона потребителски профили в LinkedIn, като са ги обявили за продажба на неразкрита сума. Трябва да се отбележи, че това беше третият път през последните четири месеца, в който данни, извлечени от милиони публични профили на потребители на LinkedIn, бяха публикувани за продажба.
CyberNews добави, че въпреки че данните не са дълбоко чувствителни, те все пак могат да изложат потребителите на риск от спам и да ги изложат на фишинг атаки. Подробностите също могат да бъдат (зло)използвани от злонамерени участници за бързо и лесно намиране на нови цели.
Willy Leichter, CMO на LogicHub, смята, че има трудни правни проблеми и проблеми с поверителността и от двете страни на този случай.
„[Решението] основно кодифицира начина, по който интернет работи на практика [така че] ако споделите нещо публично, вие трайно сте загубили изключителен контрол върху тези данни, снимки, произволни публикации или лична информация“, предупреди Лайхтер в обмен на имейл с Lifewire. „Трябва да приемете, че ще бъде копиран, архивиран, манипулиран или дори въоръжен срещу вас.“
Лайхтер изрази мнение, че дори ако хората могат да упражнят някакъв законов контрол върху данните, публикувани в публичното пространство, ще бъде невъзможно да го наложат и това в никакъв случай няма да възпре нечестната дейност.
McElroy се съгласи, като каза, че решението служи като страхотно напомняне, че хората трябва да ограничат публично достъпната си информация, тъй като това е единственото реално средство за защита от бъдещи атаки.
"Единственото практично решение за хората, загрижени за поверителността, е да спрат да споделят прекалено много и да обмислят внимателно всичко, което публикувате публично," предложи Leichter.
