Key takeaways
- En amerikansk domstol har slagit fast att det inte är olagligt att skrapa offentlig data från webbplatser som LinkedIn.
- Sekretessförespråkare föreslår att aktiviteten kan användas för att identifiera nya mål och finjustera nätfiskeattacker.
-
Det enda alternativet för människor är att sluta dela för mycket, säger experter.
Hackare bokstavligen skrapar botten av pipan för att finjustera sina attacker, och de har nu domstolarnas välsignelse.
USA:s nionde överklagandekrets har beslutat att det inte strider mot lagen att skrapa offentlig data. Web scraping är den tekniska termen för att extrahera information från en webbplats. Till exempel, när du kopierar text från en artikel som ett citat, är det skrapande. Det går in i en juridisk gråzon när skrapningen görs av automatiserade program som skrapar hela webbplatser, särskilt de som innehåller personlig information, såsom namn och e-postadresser.
"Den enorma mängd information som fritt kan skrapas bort från internet är oroande både för individer och organisationer eftersom denna information [till exempel] lätt kan användas av angripare för att göra nätfiskeattacker bättre", Rick McElroy, rektor cybersäkerhetsstrateg på VMware, berättade för Lifewire via e-post.
Get in a scrape
Utslaget kommer som en del av en juridisk strid mellan LinkedIn och hiQ Labs, ett talanghanteringsföretag som använder offentliga data från LinkedIn för att analysera anställdas avgång.
Detta stämmer inte bra med det professionella sociala nätverket, som länge har hävdat att aktiviteten hotar användarnas integritet. Dessutom hävdar LinkedIn att skrapningen strider mot dess användarvillkor och utgör hackning, som beskrivs i Computer Fraud and Abuse Act (CFAA).
Integritetsförespråkande grupper som Electronic Frontier Foundation (EFF) har varit kritiska mot CFAA och sagt att den tre decennium gamla lagen inte utformades med internetålderns känslighet i åtanke.
Den enda praktiska lösningen för individer som är oroade över integritet är att sluta dela för mycket…
I sin kritik noterar EFF att den strävar efter att få domstolar och beslutsfattare att förstå hur CFAA har undergrävt säkerhetsforskningen. Den riktar sig till LinkedIn för dess försök att omvandla en strafflag som är avsedd att ta itu med datorinbrott till ett verktyg för att upprätthålla företagspolicyer för datoranvändning, vilket i huvudsak begränsar fri och öppen tillgång till allmänt tillgänglig information.
LinkedIn ser inte webbskrapning i samma ljus. I ett uttalande till TechCrunch sa LinkedIns talesperson Greg Snapper att företaget är besviket över domstolens beslut och kommer att fortsätta kämpa för att skydda människors förmåga att kontrollera informationen de gör tillgänglig på LinkedIn. Snapper hävdade att företaget inte är bekvämt när människors data tas utan tillstånd och används på sätt som de inte har gått med på.
Aking For Trouble
Medan hiQ har intagit ståndpunkten att en dom mot dataskrapning kan "djupt påverka öppen tillgång till Internet", har det förekommit flera incidenter där skrapad data har gjorts tillgänglig på underjordiska forum för skändliga syften.
Under 2021 delade CyberNews att hotaktörer hade lyckats skrapa data från över 600 miljoner användarprofiler på LinkedIn och släppt ut det till försäljning för en hemlig summa. Noterbart är att detta var tredje gången under de senaste fyra månaderna som data skrapat från miljontals LinkedIn-användares offentliga profiler lades ut till försäljning.
CyberNews tillade att även om informationen inte var djupt känslig, kunde den fortfarande utsätta användare för skräppost och utsätta dem för nätfiskeattacker. Detaljerna kan också (missbrukas) av illvilliga aktörer för att snabbt och enkelt hitta nya mål.
Willy Leichter, CMO för LogicHub, trodde att det finns svåra juridiska frågor och integritetsfrågor på båda sidor av detta ärende.
"[Utslaget] kodifierar i princip hur internet fungerar i praktiken [så] om du delar något offentligt har du permanent förlorat exklusiv kontroll över denna data, foton, slumpmässiga inlägg eller personlig information", varnade Leichter i ett e-postutbyte med Lifewire. "Du bör anta att det kommer att kopieras, arkiveras, manipuleras eller till och med vapenbehandlas mot dig."
Leichter menade att även om människor kunde hävda en viss laglig kontroll över data som publicerats i det offentliga området, skulle det vara omöjligt att genomdriva det, och det skulle inte avskräcka skändlig verksamhet i alla fall.
McElroy höll med och sa att domen fungerar som en bra påminnelse om att människor bör begränsa sin allmänt tillgängliga information eftersom det är den enda verkliga möjligheten att skydda dem från framtida attacker.
"Den enda praktiska lösningen för individer som är oroade över integritet är att sluta dela för mycket och tänka noga på allt du publicerar offentligt", föreslog Leichter.
