Ahora es más fácil para los hackers usar información pública en su contra

April 22, 2022
EnNoticias Seguridad De Internet

Un tribunal de EE. UU. dictaminó que extraer datos públicos de sitios web como LinkedIn no es ilegal.
Los defensores de la privacidad sugieren que la actividad se puede utilizar para identificar nuevos objetivos y afinar los ataques de phishing.
La única opción para las personas es dejar de compartir en exceso, dicen los expertos.

Ladrones de datos que roban datos personales y privados de una nube no segura — ID joven / Getty Images

Los piratas informáticos literalmente raspan el fondo del barril para afinar sus ataques, y ahora cuentan con la aprobación de los tribunales.

El Noveno Circuito de Apelaciones de EE. UU. ha gobernado que raspar datos públicos no va contra la ley. Web scraping es el término técnico para extraer información de un sitio web. Por ejemplo, cuando copia texto de un artículo como una cita, eso es scraping. Entra en un área gris legal cuando el raspado lo realizan programas automatizados que raspan sitios web completos, especialmente aquellos que contienen información personal, como nombres y direcciones de correo electrónico.

"La enorme cantidad de información que se puede extraer libremente de Internet preocupa tanto a las personas como a los organizaciones, ya que esta información [por ejemplo] puede ser utilizada fácilmente por los atacantes para ayudar a mejorar los ataques de phishing",

Rick McElroy, estratega principal de ciberseguridad en vmware, le dijo a Lifewire por correo electrónico.

meterse en un lío

El fallo se produce como parte de una batalla legal entre LinkedIn y hiQ Labs, una empresa de gestión de talentos que utiliza datos públicos de LinkedIn para analizar el desgaste de los empleados.

Esto no le sienta bien a la red social profesional, que ha argumentado durante mucho tiempo que la actividad amenaza la privacidad de sus usuarios. Es más, LinkedIn sostiene que el raspado va en contra de sus términos de servicio y equivale a piratería, como se describe en la Ley de Abuso y Fraude Informático (CFAA).

Los grupos de defensa de la privacidad como la Electronic Frontier Foundation (EFF) se han crítico de la CFAA, diciendo que la ley de tres décadas no se enmarcó teniendo en cuenta las sensibilidades de la era de Internet.

"La única solución práctica para las personas preocupadas por la privacidad es dejar de compartir demasiado..."

En su crítica, la EFF señala que se esfuerza por hacer que los tribunales y los legisladores entiendan cómo la CFAA ha socavado la investigación sobre seguridad. Se dirige a LinkedIn por su intento de transformar una ley penal destinada a abordar los robos de computadoras en una herramienta para hacer cumplir las políticas corporativas de uso de computadoras, en esencia restringiendo el acceso gratuito y abierto a los disponibles públicamente información.

LinkedIn no ve el raspado web de la misma manera. en un declaración a TechCrunch, portavoz de LinkedIn pargo greg dijo que la compañía está decepcionada con la decisión de la corte y continuará luchando para proteger la capacidad de las personas para controlar la información que generan disponible en LinkedIn. Snapper afirmó que la compañía no se siente cómoda cuando los datos de las personas se toman sin permiso y se usan de formas que no han acordado. para.

Pidiendo problemas

Mientras hiQ ha tomado la posición que un fallo contra el raspado de datos podría "impactar profundamente el acceso abierto a Internet", ha habido Ha habido varios incidentes de datos raspados que están disponibles en foros clandestinos para infames propósitos

En 2021, CyberNoticias compartidas que los actores de amenazas habían logrado extraer datos de más de 600 millones de perfiles de usuarios en LinkedIn, poniéndolos a la venta por una suma no revelada. En particular, esta fue la tercera vez en los últimos cuatro meses que los datos extraídos de millones de perfiles públicos de usuarios de LinkedIn se publicaron para la venta.

CyberNews agregó que si bien los datos no eran muy confidenciales, aún podían poner a los usuarios en riesgo de spam y exponerlos a ataques de phishing. Los detalles también podrían ser (ab) utilizados por actores maliciosos para encontrar rápida y fácilmente nuevos objetivos.

willy leichter, director de marketing de Centro lógico, creía que hay problemas legales y de privacidad difíciles en ambos lados de este caso.

"[El fallo] básicamente codifica la forma en que funciona Internet en la práctica [así que] si compartes algo públicamente, tienes perdido el control exclusivo sobre esos datos, fotos, publicaciones aleatorias o información personal", advirtió Leichter en un intercambio de correo electrónico con Alambre de vida. "Debes asumir que será copiado, archivado, manipulado o incluso armado contra ti".

Leichter opinó que incluso si las personas pudieran ejercer algún control legal sobre los datos publicados en el dominio público, sería imposible hacerlo cumplir y, en cualquier caso, no impediría la actividad infame.

McElroy estuvo de acuerdo y dijo que el fallo sirve como un gran recordatorio de que las personas deben limitar sus información accesible ya que ese es el único recurso real disponible para protegerlos de futuras ataques

"La única solución práctica para las personas preocupadas por la privacidad es dejar de compartir demasiado y pensar detenidamente en cualquier cosa que publique", sugirió Leichter.