Key takeaways
- En amerikansk domstol har afgjort, at det ikke er ulovligt at skrabe offentlige data fra websteder som LinkedIn.
- Privatlivsforkæmpere foreslår, at aktiviteten kan bruges til at identificere nye mål og finjustere phishing-angreb.
-
Den eneste mulighed for folk er at stoppe overdeling, siger eksperter.
Hackere skraber bogstaveligt t alt bunden af tønden for at finjustere deres angreb, og de har nu domstolenes velsignelse.
The US Ninth Circuit of Appeals har afgjort, at det ikke er i strid med loven at skrabe offentlige data. Webscraping er den tekniske betegnelse for at udtrække information fra en hjemmeside. For eksempel, når du kopierer noget tekst fra en artikel som et citat, er det skrabe. Det kommer ind i et juridisk gråt område, når skrabet udføres af automatiserede programmer, der skraber hele websteder, især dem med personlige oplysninger, såsom navne og e-mailadresser.
"Den enorme mængde information, der frit kan skrabes fra internettet, er bekymrende både for enkeltpersoner og organisationer, da disse oplysninger [for eksempel] nemt kan bruges af angribere til at hjælpe med at gøre phishing-angreb bedre," Rick McElroy, Principal Cybersecurity Strategist hos VMware, fort alte Lifewire via e-mail.
Get ind i en skramme
Kendelsen kommer som en del af en juridisk kamp mellem LinkedIn og hiQ Labs, et talent management-firma, der bruger offentlige data fra LinkedIn til at analysere medarbejdernes nedslidning.
Dette passer ikke godt med det professionelle sociale netværk, som længe har hævdet, at aktiviteten truer brugernes privatliv. Desuden hævder LinkedIn, at skrabet er i strid med dets servicevilkår og svarer til hacking, som beskrevet i Computer Fraud and Abuse Act (CFAA).
Privacy advocacy-grupper såsom Electronic Frontier Foundation (EFF) har været kritiske over for CFAA og sagt, at den tre årtier gamle lov ikke var udformet med internetalderens følsomhed i tankerne.
Den eneste praktiske løsning for enkeltpersoner, der bekymrer sig om privatlivets fred, er at stoppe med at overdele…
I sin kritik bemærker EFF, at den stræber efter at få domstolene og politiske beslutningstagere til at forstå, hvordan CFAA har undermineret sikkerhedsforskningen. Den retter sig mod LinkedIn for dets forsøg på at omdanne en straffelov, der er beregnet til at håndtere computerindbrud, til et værktøj til at håndhæve virksomheders politikker for computerbrug, i det væsentlige begrænser fri og åben adgang til offentligt tilgængelig information.
LinkedIn ser ikke web-skrabning i samme lys. I en erklæring til TechCrunch sagde LinkedIns talsmand Greg Snapper, at virksomheden er skuffet over domstolens afgørelse og vil fortsætte med at kæmpe for at beskytte folks evne til at kontrollere den information, de stiller til rådighed på LinkedIn. Snapper hævdede, at virksomheden ikke er tryg, når folks data tages uden tilladelse og bruges på måder, de ikke har accepteret.
Ask for Trouble
Mens hiQ har taget det standpunkt, at en dom mod dataskrabning kan "dybt påvirke åben adgang til internettet", har der været adskillige tilfælde af skrabet data, der er blevet gjort tilgængelige på underjordiske fora til ondsindede formål.
I 2021 delte CyberNews, at trusselsaktører havde formået at skrabe data fra over 600 millioner brugerprofiler på LinkedIn og satte dem til salg for et ikke offentliggjort beløb. Det var især tredje gang inden for de seneste fire måneder, at data fra millioner af LinkedIn-brugeres offentlige profiler var blevet udgivet til salg.
CyberNews tilføjede, at selvom dataene ikke var dybt følsomme, kunne det stadig bringe brugere i fare for spam og udsætte dem for phishing-angreb. Detaljerne kan også blive (misbrugt) af ondsindede aktører til hurtigt og nemt at finde nye mål.
Willy Leichter, CMO for LogicHub, mente, at der er vanskelige juridiske og privatlivsproblemer på begge sider af denne sag.
"[Dommen] kodificerer grundlæggende måden internettet fungerer på i praksis [så] hvis du deler noget offentligt, har du permanent mistet eksklusiv kontrol over disse data, billeder, tilfældige indlæg eller personlige oplysninger," advarede Leichter i en e-mail-udveksling med Lifewire. "Du bør antage, at det vil blive kopieret, arkiveret, manipuleret eller endda våben mod dig."
Leichter mente, at selv hvis folk kunne hævde en vis juridisk kontrol over data, der er udgivet i det offentlige domæne, ville det være umuligt at håndhæve det, og det ville under alle omstændigheder ikke afskrække ufarlig aktivitet.
McElroy var enig og sagde, at kendelsen tjener som en god påmindelse om, at folk bør begrænse deres offentligt tilgængelige information, da det er den eneste reelle mulighed for at beskytte dem mod fremtidige angreb.
"Den eneste praktiske løsning for enkeltpersoner, der bekymrer sig om privatlivets fred, er at stoppe med at overdele og tænke grundigt over alt, hvad du poster offentligt," foreslog Leichter.
