Det er nu nemmere for hackere at bruge offentlig information mod dig

April 22, 2022
INyheder Internetsikkerhed

En amerikansk domstol har afgjort, at det ikke er ulovligt at skrabe offentlige data fra hjemmesider som LinkedIn.
Privatlivsforkæmpere foreslår, at aktiviteten kan bruges til at identificere nye mål og finjustere phishing-angreb.
Den eneste mulighed for folk er at stoppe med at dele, siger eksperter.

Datatyve, der stjæler personlige og private data fra en usikker sky — youngID / Getty Images

Hackere skraber bogstaveligt talt bunden af tønden for at finjustere deres angreb, og de har nu domstolenes velsignelse.

US Ninth Circuit of Appeals har regeret at skrabe offentlige data ikke er i strid med loven. Webscraping er den tekniske betegnelse for at udtrække information fra en hjemmeside. For eksempel, når du kopierer noget tekst fra en artikel som et citat, er det skrabe. Det kommer ind i et juridisk gråt område, når skrabet sker af automatiserede programmer, der skraber hele websteder, især dem, der har personlige oplysninger, såsom navne og e-mailadresser.

"Den enorme mængde information, der frit kan skrabes fra internettet, er bekymrende både for enkeltpersoner og organisationer, da disse oplysninger [for eksempel] nemt kan bruges af angribere til at hjælpe med at gøre phishing-angreb bedre,"

Rick McElroy, Principal Cybersecurity Strategist at VMware, fortalte Lifewire via e-mail.

Kom ind i en skrabe

Kendelsen kommer som en del af en juridisk kamp mellem LinkedIn og hiQ Labs, et talent management-firma, der bruger offentlige data fra LinkedIn til at analysere medarbejdernes nedslidning.

Dette passer ikke godt med det professionelle sociale netværk, som længe har argumenteret at aktiviteten truer brugernes privatliv. Desuden, LinkedIn hævder at skrabet er imod dets servicevilkår og svarer til hacking, som beskrevet i Computer Fraud and Abuse Act (CFAA).

Fortalergrupper for beskyttelse af personlige oplysninger såsom Electronic Frontier Foundation (EFF) har været kritisk over for CFAA, og sagde, at den tre årtier gamle lov ikke var indrammet med internetalderens følsomheder i tankerne.

"Den eneste praktiske løsning for enkeltpersoner, der bekymrer sig om privatlivets fred, er at stoppe med at overdele..."

I sin kritik bemærker EFF, at den stræber efter at få domstolene og politiske beslutningstagere til at forstå, hvordan CFAA har undermineret sikkerhedsforskningen. Det retter sig mod LinkedIn for dets forsøg på at omdanne en straffelov, der skal adressere computerindbrud til et værktøj til håndhæve virksomhedens computerbrugspolitikker, i det væsentlige begrænser fri og åben adgang til offentligt tilgængelige Information.

LinkedIn ser ikke web-skrabning i samme lys. I en erklæring til TechCrunch, LinkedIns talsmand Greg Snapper sagde, at virksomheden er skuffet over rettens afgørelse og vil fortsætte med at kæmpe for at beskytte folks evne til at kontrollere de oplysninger, de laver tilgængelig på LinkedIn. Snapper hævdede, at virksomheden ikke er tryg, når folks data tages uden tilladelse og bruges på måder, de ikke har aftalt til.

Beder om problemer

Mens hiQ har taget stilling at en kendelse mod dataskrabning kunne "dybt påvirke åben adgang til internettet," der har været flere tilfælde af skrabet data, der blev gjort tilgængelige på underjordiske fora for ondsindede formål.

I 2021, CyberNews delt at trusselsaktører havde formået at skrabe data fra over 600 millioner brugerprofiler på LinkedIn og satte dem til salg for et ikke oplyst beløb. Det var især tredje gang inden for de seneste fire måneder, at data fra millioner af LinkedIn-brugeres offentlige profiler var blevet udgivet til salg.

CyberNews tilføjede, at selvom dataene ikke var dybt følsomme, kunne de stadig udsætte brugerne for spam og udsætte dem for phishing-angreb. Detaljerne kunne også (ab) bruges af ondsindede aktører til hurtigt og nemt at finde nye mål.

Willy Leichter, CMO af LogicHub, mente, at der er vanskelige juridiske og privatlivsspørgsmål på begge sider af denne sag.

"[Dommen] kodificerer grundlæggende den måde, internettet fungerer på i praksis [så] hvis du deler noget offentligt, har du permanent mistet eksklusiv kontrol over disse data, billeder, tilfældige indlæg eller personlige oplysninger," advarede Leichter i en e-mail-udveksling med Lifewire. "Du bør antage, at det vil blive kopieret, arkiveret, manipuleret eller endda våben mod dig."

Leichter mente, at selv hvis folk kunne hævde en vis juridisk kontrol over data, der er udgivet i det offentlige domæne, ville det være umuligt at håndhæve det, og det ville under alle omstændigheder ikke afskrække ufarlig aktivitet.

McElroy var enig og sagde, at kendelsen tjener som en god påmindelse om, at folk bør begrænse deres offentligt tilgængelig information, da det er den eneste reelle mulighed for at beskytte dem mod fremtiden angreb.

"Den eneste praktiske løsning for enkeltpersoner, der bekymrer sig om privatlivets fred, er at stoppe med at dele og tænke grundigt over alt, hvad du poster offentligt," foreslog Leichter.