Hakerzy mogą teraz łatwiej wykorzystać informacje publiczne przeciwko Tobie

April 22, 2022
WAktualności Ochrona Internetu

Sąd Stanów Zjednoczonych orzekł, że zbieranie publicznych danych z witryn takich jak LinkedIn nie jest nielegalne.
Zwolennicy prywatności sugerują, że aktywność ta może zostać wykorzystana do zidentyfikowania nowych celów i dostrojenia ataków phishingowych.
Jedyną opcją dla ludzi jest zaprzestanie nadmiernego udostępniania, twierdzą eksperci.

Złodzieje danych kradną dane osobowe i prywatne z niezabezpieczonej chmury — youngID / Getty Images

Hakerzy dosłownie ocierają się o dno beczki, aby dostroić swoje ataki, a teraz mają błogosławieństwo sądu.

Dziewiąty Obwód Odwoławczy Stanów Zjednoczonych rządził że zbieranie danych publicznych nie jest niezgodne z prawem. Web scraping to termin techniczny służący do wydobywania informacji ze strony internetowej. Na przykład, gdy kopiujesz tekst z artykułu jako cytat, to jest skrobanie. Wchodzi w legalną szarą strefę, gdy zbieranie jest dokonywane przez automatyczne programy, które zeskrobują całe witryny internetowe, zwłaszcza te zawierające dane osobowe, takie jak nazwiska i adresy e-mail.

„Ogromna ilość informacji, które można swobodnie usuwać z Internetu, jest niepokojąca zarówno dla osób fizycznych, jak i organizacje, ponieważ te informacje [na przykład] mogą być łatwo wykorzystane przez atakujących, aby usprawnić ataki phishingowe”,

Rick McElroy, główny strateg ds. cyberbezpieczeństwa w VMware, powiedział Lifewire w e-mailu.

Wejdź w zadrapanie

Orzeczenie jest częścią prawnej batalii między LinkedIn a hiQ Labs, firmą zajmującą się zarządzaniem talentami, która wykorzystuje publiczne dane z LinkedIn do analizy odpływu pracowników.

To nie pasuje do profesjonalnej sieci społecznościowej, który od dawna się kłócił że działalność ta zagraża prywatności jej użytkowników. Ponadto, LinkedIn że skrobanie jest sprzeczne z warunkami świadczenia usług i jest równoznaczne z włamaniem, jak opisano w ustawie o oszustwach i nadużyciach komputerowych (CAFA).

Grupy na rzecz ochrony prywatności, takie jak Electronic Frontier Foundation (EFF), zostały krytyczny wobec CAFA, mówiąc, że prawo sprzed trzech dekad nie zostało sformułowane z myślą o wrażliwości epoki Internetu.

„Jedynym praktycznym rozwiązaniem dla osób, którym zależy na prywatności, jest zaprzestanie nadmiernego udostępniania...”

W swojej krytyce EFF zauważa, że stara się, aby sądy i decydenci zrozumieli, w jaki sposób CAFA podkopała badania nad bezpieczeństwem. Obiera za cel LinkedIn za próbę przekształcenia prawa karnego mającego zapobiegać włamaniom komputerowym w narzędzie do: egzekwować polityki korzystania z komputerów w firmie, w istocie ograniczając swobodny i otwarty dostęp do publicznie dostępnych Informacja.

LinkedIn nie postrzega web scrapingu w tym samym świetle. W oświadczenie dla TechCrunch, rzecznik prasowy LinkedIn Greg Snapper powiedział, że firma jest rozczarowana decyzją sądu i będzie nadal walczyć o ochronę zdolności ludzi do kontrolowania informacji, które tworzą dostępne na LinkedIn. Snapper zapewnił, że firma nie czuje się komfortowo, gdy dane ludzi są pobierane bez pozwolenia i wykorzystywane w sposób, na który nie zgodzili się do.

Prosić się o kłopoty

Chwila hiQ zajął stanowisko że orzeczenie przeciwko zbieraniu danych może „głęboko wpłynąć na otwarty dostęp do Internetu” kilka przypadków zeskrobanych danych udostępnionych na podziemnych forach dla nikczemników cele.

W 2021 r. Udostępniono CyberNews że cyberprzestępcom udało się zebrać dane z ponad 600 milionów profili użytkowników na LinkedIn, wystawiając je na sprzedaż za nieujawnioną sumę. Warto zauważyć, że był to trzeci raz w ciągu ostatnich czterech miesięcy, kiedy dane zebrane z milionów publicznych profili użytkowników LinkedIn zostały wystawione na sprzedaż.

CyberNews dodał, że chociaż dane nie były głęboko wrażliwe, nadal mogą narażać użytkowników na spam i narażać ich na ataki phishingowe. Szczegóły mogą być również (ab) wykorzystywane przez złośliwe podmioty do szybkiego i łatwego znajdowania nowych celów.

Willy Leichter, dyrektor ds. marketingu z LogicHubuważa, że po obu stronach tej sprawy występują trudne kwestie prawne i dotyczące prywatności.

„[Orzeczenie] zasadniczo kodyfikuje sposób działania Internetu w praktyce [więc] jeśli udostępniasz coś publicznie, masz na stałe stracił wyłączną kontrolę nad tymi danymi, zdjęciami, przypadkowymi postami lub danymi osobowymi” – ostrzegł Leichter podczas wymiany e-maili z Lifewire. „Powinieneś założyć, że zostanie skopiowany, zarchiwizowany, zmanipulowany, a nawet użyty przeciwko tobie”.

Leichter wyraził opinię, że nawet gdyby ludzie mogli przejąć kontrolę prawną nad danymi publikowanymi w domenie publicznej, nie dałoby się tego wyegzekwować, a w żadnym wypadku nie zniechęciłoby to do nikczemnych działań.

McElroy zgodził się, mówiąc, że orzeczenie jest doskonałym przypomnieniem, że ludzie powinni ograniczać swoje publiczne dostępnych informacji, ponieważ jest to jedyny realny sposób ochrony przed przyszłością ataki.

„Jedynym praktycznym rozwiązaniem dla osób zainteresowanych prywatnością jest zaprzestanie nadmiernego udostępniania i dokładne przemyślenie wszystkiego, co publikujesz publicznie” – zasugerował Leichter.