Da asporto chiave
- Un tribunale degli Stati Uniti ha stabilito che lo scraping di dati pubblici da siti Web come LinkedIn non è illegale.
- I sostenitori della privacy suggeriscono che l'attività può essere utilizzata per identificare nuovi obiettivi e perfezionare gli attacchi di phishing.
-
L'unica opzione per le persone è smettere di condividere eccessivamente, dicono gli esperti.
Gli hacker stanno letteralmente raschiando il fondo del barile per mettere a punto i loro attacchi e ora hanno la benedizione delle corti.
Il nono circuito di appello degli Stati Uniti ha stabilito che la raccolta di dati pubblici non è contro la legge. Il web scraping è il termine tecnico per estrarre informazioni da un sito web. Ad esempio, quando copi del testo da un articolo come citazione, si tratta di scraping. Entra in un'area grigia legale quando lo scraping viene eseguito da programmi automatizzati che raschiano interi siti Web, in particolare quelli che contengono informazioni personali, come nomi e indirizzi e-mail.
"L'enorme quantità di informazioni che possono essere raccolte liberamente da Internet è fonte di preoccupazione sia per gli individui che per le organizzazioni poiché queste informazioni [ad esempio] possono essere facilmente utilizzate dagli aggressori per migliorare gli attacchi di phishing", Rick McElroy, Principal Cybersecurity Strategist di VMware, ha detto a Lifewire via e-mail.
Entra in un raschietto
La sentenza fa parte di una battaglia legale tra LinkedIn e hiQ Labs, una società di gestione dei talenti che utilizza i dati pubblici di LinkedIn per analizzare il logoramento dei dipendenti.
Questo non si adatta bene al social network professionale, che da tempo sostiene che l'attività minaccia la privacy dei suoi utenti. Inoltre, LinkedIn sostiene che lo scraping è contrario ai suoi termini di servizio e equivale a un hacking, come descritto nel Computer Fraud and Abuse Act (CFAA).
I gruppi di difesa della privacy come la Electronic Frontier Foundation (EFF) sono stati critici nei confronti della CFAA, affermando che la legge di tre decenni non era inquadrata pensando alla sensibilità dell'era di Internet.
L'unica soluzione pratica per le persone preoccupate per la privacy è smettere di condividere eccessivamente…
Nelle sue critiche, l'EFF osserva che si sforza di far capire ai tribunali e ai responsabili politici come la CFAA abbia minato la ricerca sulla sicurezza. Prende di mira LinkedIn per il suo tentativo di trasformare una legge penale intesa ad affrontare le effrazioni informatiche in uno strumento per far rispettare le politiche aziendali sull'uso dei computer, in sostanza limitando l'accesso libero e aperto alle informazioni pubblicamente disponibili.
LinkedIn non vede il web scraping nella stessa luce. In una dichiarazione a TechCrunch, il portavoce di LinkedIn Greg Snapper ha affermato che la società è delusa dalla decisione del tribunale e continuerà a lottare per proteggere la capacità delle persone di controllare le informazioni che mettono a disposizione su LinkedIn. Snapper ha affermato che l'azienda non si sente a suo agio quando i dati delle persone vengono presi senza autorizzazione e utilizzati in modi che non hanno concordato.
Chiedere problemi
Sebbene hiQ abbia preso posizione sul fatto che una sentenza contro lo scraping dei dati potrebbe "incidere profondamente sull'accesso aperto a Internet", si sono verificati diversi episodi di scraping di dati resi disponibili su forum sotterranei per scopi nefasti.
Nel 2021, CyberNews ha condiviso che gli attori delle minacce erano riusciti a raccogliere dati da oltre 600 milioni di profili utente su LinkedIn, mettendoli in vendita per una somma non rivelata. In particolare, questa è stata la terza volta negli ultimi quattro mesi che i dati raccolti da milioni di profili pubblici di utenti LinkedIn sono stati messi in vendita.
CyberNews ha aggiunto che, sebbene i dati non fossero molto sensibili, potrebbero comunque mettere gli utenti a rischio di spam ed esporli ad attacchi di phishing. I dettagli potrebbero anche essere (ab)utilizzati da attori malintenzionati per trovare rapidamente e facilmente nuovi obiettivi.
Willy Leichter, CMO di LogicHub, credeva che ci fossero difficili problemi legali e di privacy su entrambi i lati di questo caso.
"[La sentenza] sostanzialmente codifica il modo in cui Internet funziona in pratica [quindi] se condividi qualcosa pubblicamente, hai perso permanentemente il controllo esclusivo su quei dati, foto, post casuali o informazioni personali ", ha avvertito Leichter in uno scambio di e-mail con Lifewire. "Dovresti presumere che verrà copiato, archiviato, manipolato o persino usato come arma contro di te."
Leichter ha affermato che, anche se le persone potessero esercitare un controllo legale sui dati pubblicati di pubblico dominio, sarebbe impossibile applicarlo e in ogni caso non scoraggerebbe attività nefaste.
McElroy è d'accordo, affermando che la sentenza serve come un grande promemoria che le persone dovrebbero limitare le loro informazioni pubblicamente accessibili poiché questa è l'unica vera risorsa disponibile per proteggerle da attacchi futuri.
"L'unica soluzione pratica per le persone preoccupate per la privacy è smettere di condividere eccessivamente e pensare attentamente a qualsiasi cosa pubblichi pubblicamente", ha suggerito Leichter.
