Het is nu gemakkelijker voor hackers om openbare informatie tegen u te gebruiken

April 22, 2022
InNieuws Internet Beveiliging

Een Amerikaanse rechtbank heeft geoordeeld dat het schrapen van openbare gegevens van websites zoals LinkedIn niet illegaal is.
Voorstanders van privacy suggereren dat de activiteit kan worden gebruikt om nieuwe doelen te identificeren en phishing-aanvallen te verfijnen.
De enige optie voor mensen is om te stoppen met te veel delen, zeggen experts.

Gegevensdieven die persoonlijke en privégegevens stelen uit een onveilige cloud — youngID / Getty Images

Hackers schrapen letterlijk de bodem van het vat om hun aanvallen te verfijnen, en ze hebben nu de zegen van de rechtbanken.

Het negende circuit van beroep in de VS heeft geregeerd dat het schrapen van openbare gegevens niet tegen de wet is. Webscraping is de technische term voor het extraheren van informatie van een website. Als je bijvoorbeeld wat tekst uit een artikel kopieert als citaat, is dat schrapen. Het komt in een juridisch grijs gebied wanneer het schrapen wordt gedaan door geautomatiseerde programma's die hele websites schrapen, vooral die met persoonlijke informatie, zoals namen en e-mailadressen.

"De enorme hoeveelheid informatie die vrijelijk van internet kan worden geschraapt, is een zorg voor zowel individuen als organisaties, omdat deze informatie [bijvoorbeeld] gemakkelijk door aanvallers kan worden gebruikt om phishing-aanvallen te verbeteren,"

Rick McElroy, Principal Cybersecurity Strategist bij VMware, vertelde Lifewire via e-mail.

Raak in een schram

De uitspraak komt als onderdeel van een juridische strijd tussen LinkedIn en hiQ Labs, een talentmanagementbedrijf dat openbare gegevens van LinkedIn gebruikt om het personeelsverloop te analyseren.

Dit past niet goed bij het professionele sociale netwerk, die lang heeft gediscussieerd dat de activiteit de privacy van zijn gebruikers bedreigt. Verder, LinkedIn stelt dat het schrapen in strijd is met de servicevoorwaarden en neerkomt op hacken, zoals beschreven in de Computer Fraud and Abuse Act (CFAA).

Privacy belangengroepen zoals de Electronic Frontier Foundation (EFF) zijn: kritisch over de CAFA, en zei dat de drie decennia oude wet niet was opgesteld met de gevoeligheden van het internettijdperk in gedachten.

"De enige praktische oplossing voor personen die zich zorgen maken over privacy is om te stoppen met te veel delen..."

In haar kritiek merkt de EFF op dat ze ernaar streeft de rechtbanken en beleidsmakers duidelijk te maken hoe de CAFA het veiligheidsonderzoek heeft ondermijnd. Het richt zich op LinkedIn vanwege zijn poging om een strafrecht dat bedoeld is om computerinbraken aan te pakken, om te zetten in een tool om: het bedrijfsbeleid voor computergebruik afdwingen, in wezen het beperken van vrije en open toegang tot openbaar beschikbare informatie.

LinkedIn ziet webscraping niet in hetzelfde licht. In een verklaring aan TechCrunch, woordvoerder van LinkedIn Greg Snapper zei dat het bedrijf teleurgesteld is in de beslissing van de rechtbank en zal blijven vechten om het vermogen van mensen om controle te houden over de informatie die ze maken te beschermen beschikbaar op LinkedIn. Snapper beweerde dat het bedrijf zich er niet prettig bij voelt wanneer de gegevens van mensen zonder toestemming worden genomen en worden gebruikt op manieren waar ze niet mee hebben ingestemd tot.

Vragen om problemen

Terwijl hiQ heeft het standpunt ingenomen dat een uitspraak tegen het schrapen van gegevens "een grote impact zou kunnen hebben op open toegang tot internet", hebben zijn er verschillende incidenten geweest waarbij geschraapte gegevens beschikbaar werden gesteld op ondergrondse forums voor snode? doeleinden.

in 2021, CyberNews gedeeld dat dreigingsactoren erin waren geslaagd om gegevens van meer dan 600 miljoen gebruikersprofielen op LinkedIn te schrapen, en deze voor een onbekend bedrag te koop aan te bieden. Dit was met name de derde keer in de afgelopen vier maanden dat gegevens van miljoenen openbare profielen van LinkedIn-gebruikers te koop werden aangeboden.

CyberNews voegde eraan toe dat hoewel de gegevens niet erg gevoelig waren, gebruikers toch het risico konden lopen op spam en hen blootstelden aan phishing-aanvallen. De details kunnen ook (ab) worden gebruikt door kwaadwillende actoren om snel en gemakkelijk nieuwe doelen te vinden.

Willy Leichter, GMO van LogicHub, meende dat er aan beide kanten van deze zaak moeilijke juridische en privacykwesties zijn.

"[De uitspraak] codificeert in feite de manier waarop internet in de praktijk werkt [dus] als je iets openbaar deelt, heb je permanent verloor de exclusieve controle over die gegevens, foto's, willekeurige berichten of persoonlijke informatie", waarschuwde Leichter in een e-mailuitwisseling met reddingsdraad. "Je moet ervan uitgaan dat het wordt gekopieerd, gearchiveerd, gemanipuleerd of zelfs tegen je wordt bewapend."

Leichter meende dat zelfs als mensen enige juridische controle zouden kunnen uitoefenen over gegevens die in het publieke domein zijn geplaatst, het onmogelijk zou zijn om het af te dwingen, en het zou in elk geval geen snode activiteiten afschrikken.

McElroy was het daarmee eens en zei dat de uitspraak een goede herinnering is dat mensen hun publiekelijk moeten beperken toegankelijke informatie, aangezien dat de enige echte mogelijkheid is om hen te beschermen tegen de toekomst aanvallen.

"De enige praktische oplossing voor personen die zich zorgen maken over privacy, is om te stoppen met te veel delen en goed na te denken over alles wat je openbaar plaatst", suggereerde Leichter.