Key takeaways
- En amerikansk domstol har avgjort at skraping av offentlige data fra nettsteder som LinkedIn ikke er ulovlig.
- Personvernforkjempere foreslår at aktiviteten kan brukes til å identifisere nye mål og finjustere phishing-angrep.
-
Det eneste alternativet for folk er å slutte med overdeling, sier eksperter.
Hackere skraper bokstavelig t alt bunnen av fatet for å finjustere angrepene sine, og de har nå domstolenes velsignelse.
The US Ninth Circuit of Appeals har avgjort at skraping av offentlige data ikke er i strid med loven. Nettskraping er den tekniske betegnelsen for å trekke ut informasjon fra et nettsted. For eksempel, når du kopierer tekst fra en artikkel som et sitat, er det skraping. Det går inn i et juridisk grått område når skrapingen gjøres av automatiserte programmer som skraper hele nettsider, spesielt de som har personlig informasjon, for eksempel navn og e-postadresser.
"Den enorme mengden informasjon som fritt kan skrapes fra internett er bekymrende både for enkeltpersoner og organisasjoner, siden denne informasjonen [for eksempel] enkelt kan brukes av angripere for å gjøre phishing-angrep bedre," Rick McElroy, rektor for cybersikkerhetsstrateg hos VMware, fort alte Lifewire via e-post.
Get Into a Scrape
Dommen kommer som en del av en juridisk kamp mellom LinkedIn og hiQ Labs, et talentadministrasjonsselskap som bruker offentlige data fra LinkedIn for å analysere ansattes avgang.
Dette passer ikke bra med det profesjonelle sosiale nettverket, som lenge har hevdet at aktiviteten truer brukernes personvern. Videre hevder LinkedIn at skrapingen er i strid med vilkårene for bruk og utgjør hacking, som beskrevet i Computer Fraud and Abuse Act (CFAA).
Personverngrupper som Electronic Frontier Foundation (EFF) har vært kritiske til CFAA og sagt at den tre tiår gamle loven ikke var utformet med tanke på sensibilitetene til internettalderen.
Den eneste praktiske løsningen for enkeltpersoner som er bekymret for personvern, er å slutte å overdele…
I sin kritikk bemerker EFF at den streber etter å få domstolene og beslutningstakere til å forstå hvordan CFAA har undergravd sikkerhetsforskning. Den retter seg mot LinkedIn for sitt forsøk på å transformere en straffelov som er ment å håndtere datainnbrudd til et verktøy for å håndheve bedriftens retningslinjer for bruk av datamaskiner, i hovedsak begrenser fri og åpen tilgang til offentlig tilgjengelig informasjon.
LinkedIn ser ikke nettskraping i samme lys. I en uttalelse til TechCrunch sa LinkedIns talsperson Greg Snapper at selskapet er skuffet over domstolens avgjørelse og vil fortsette å kjempe for å beskytte folks evne til å kontrollere informasjonen de gjør tilgjengelig på LinkedIn. Snapper hevdet at selskapet ikke er komfortabelt når folks data tas uten tillatelse og brukes på måter de ikke har samtykket til.
Ask for Trouble
Mens hiQ har tatt standpunkt om at en avgjørelse mot dataskraping kan "få dyptgående innvirkning på åpen tilgang til Internett", har det vært flere hendelser med skrapet data som er gjort tilgjengelig på underjordiske fora for ondsinnede formål.
I 2021 delte CyberNews at trusselaktører hadde klart å skrape data fra over 600 millioner brukerprofiler på LinkedIn, og lagt det ut for salg for en ikke avslørt sum. Spesielt var dette tredje gang i løpet av de siste fire månedene at data fra millioner av LinkedIn-brukeres offentlige profiler ble lagt ut for salg.
CyberNews la til at selv om dataene ikke var dypt sensitive, kan de fortsatt sette brukere i fare for spam og utsette dem for phishing-angrep. Detaljene kan også (mis)brukes av ondsinnede aktører for raskt og enkelt å finne nye mål.
Willy Leichter, CMO i LogicHub, mente det er vanskelige juridiske og personvernspørsmål på begge sider av denne saken.
"[Dommen] kodifiserer i utgangspunktet måten internett fungerer på i praksis [så] hvis du deler noe offentlig, har du permanent mistet eksklusiv kontroll over disse dataene, bildene, tilfeldige innleggene eller personlig informasjon," advarte Leichter i en e-postutveksling med Lifewire. "Du bør anta at den vil bli kopiert, arkivert, manipulert eller til og med våpen mot deg."
Leichter mente at selv om folk kunne hevde en viss juridisk kontroll over data som er lagt ut i det offentlige domene, ville det være umulig å håndheve det, og det ville i alle fall ikke avskrekke ufarlig aktivitet.
McElroy var enig, og sa at kjennelsen fungerer som en god påminnelse om at folk bør begrense offentlig tilgjengelig informasjon, siden det er den eneste reelle utveien tilgjengelig for å beskytte dem mot fremtidige angrep.
"Den eneste praktiske løsningen for enkeltpersoner som er opptatt av personvern, er å slutte å overdele og tenke nøye gjennom alt du legger ut offentlig," foreslo Leichter.