Belangrijkste afhaalrestaurants
- Een Amerikaanse rechtbank heeft geoordeeld dat het schrapen van openbare gegevens van websites zoals LinkedIn niet illegaal is.
- Voorstanders van privacy suggereren dat de activiteit kan worden gebruikt om nieuwe doelen te identificeren en phishing-aanvallen te verfijnen.
-
De enige optie voor mensen is om te stoppen met te veel delen, zeggen experts.
Hackers schrapen letterlijk de bodem van het vat om hun aanvallen te verfijnen, en ze hebben nu de zegen van de rechtbanken.
Het Amerikaanse Ninth Circuit of Appeals heeft geoordeeld dat het schrapen van openbare gegevens niet tegen de wet is. Webscraping is de technische term voor het extraheren van informatie van een website. Als je bijvoorbeeld wat tekst uit een artikel kopieert als citaat, is dat schrapen. Het komt in een juridisch grijs gebied wanneer het schrapen wordt gedaan door geautomatiseerde programma's die hele websites schrapen, vooral die met persoonlijke informatie, zoals namen en e-mailadressen.
"De enorme hoeveelheid informatie die vrijelijk van internet kan worden geschraapt, baart zowel individuen als organisaties zorgen, omdat deze informatie [bijvoorbeeld] gemakkelijk door aanvallers kan worden gebruikt om phishing-aanvallen te verbeteren", Rick McElroy, Principal Cybersecurity Strategist bij VMware, vertelde Lifewire via e-mail.
Krijg in een schram
De uitspraak komt als onderdeel van een juridische strijd tussen LinkedIn en hiQ Labs, een talentmanagementbedrijf dat openbare gegevens van LinkedIn gebruikt om het personeelsverloop te analyseren.
Dit past niet goed bij het professionele sociale netwerk, dat al lang beweert dat de activiteit de privacy van zijn gebruikers bedreigt. Verder stelt LinkedIn dat het schrapen in strijd is met de servicevoorwaarden en neerkomt op hacken, zoals beschreven in de Computer Fraud and Abuse Act (CFAA).
Privacy belangengroepen zoals de Electronic Frontier Foundation (EFF) waren kritisch over de CFAA en zeiden dat de drie decennia oude wet niet was opgesteld met de gevoeligheden van het internettijdperk in gedachten.
De enige praktische oplossing voor personen die zich zorgen maken over privacy is om te stoppen met te veel delen…
In haar kritiek merkt de EFF op dat ze ernaar streeft de rechtbanken en beleidsmakers duidelijk te maken hoe de CAFA het veiligheidsonderzoek heeft ondermijnd. Het richt zich op LinkedIn vanwege zijn poging om een strafrecht dat bedoeld is om computerinbraken aan te pakken om te vormen tot een hulpmiddel om bedrijfsbeleid voor computergebruik af te dwingen, in wezen het beperken van vrije en open toegang tot openbaar beschikbare informatie.
LinkedIn ziet webscraping niet in hetzelfde licht. In een verklaring aan TechCrunch zei de woordvoerder van LinkedIn, Greg Snapper, dat het bedrijf teleurgesteld is in de beslissing van de rechtbank en zal blijven vechten om het vermogen van mensen om controle te houden over de informatie die ze op LinkedIn beschikbaar stellen, te beschermen. Snapper beweerde dat het bedrijf zich er niet prettig bij voelt wanneer de gegevens van mensen zonder toestemming worden genomen en worden gebruikt op manieren waarmee ze niet hebben ingestemd.
Vraag om problemen
Hoewel hiQ het standpunt heeft ingenomen dat een uitspraak tegen het schrapen van gegevens "een grote impact kan hebben op open toegang tot internet", zijn er verschillende incidenten geweest waarbij geschraapte gegevens beschikbaar werden gesteld op ondergrondse forums voor snode doeleinden.
In 2021 deelde CyberNews dat dreigingsactoren erin waren geslaagd om gegevens van meer dan 600 miljoen gebruikersprofielen op LinkedIn te schrapen, en deze te koop aan te bieden voor een niet nader genoemd bedrag. Dit was met name de derde keer in de afgelopen vier maanden dat gegevens van miljoenen openbare profielen van LinkedIn-gebruikers te koop waren geplaatst.
CyberNews voegde eraan toe dat hoewel de gegevens niet erg gevoelig waren, gebruikers toch het risico konden lopen op spam en hen blootstelden aan phishing-aanvallen. De details kunnen ook worden (misbruikt) door kwaadwillende actoren om snel en gemakkelijk nieuwe doelen te vinden.
Willy Leichter, CMO van LogicHub, was van mening dat er aan beide kanten van deze zaak moeilijke juridische en privacykwesties zijn.
"[De uitspraak] codificeert in feite de manier waarop internet in de praktijk werkt [dus] als je iets openbaar deelt, heb je permanent de exclusieve controle over die gegevens, foto's, willekeurige berichten of persoonlijke informatie verloren", waarschuwde Leichter in een e-mailuitwisseling met Lifewire. "Je moet ervan uitgaan dat het wordt gekopieerd, gearchiveerd, gemanipuleerd of zelfs als wapen tegen je wordt gebruikt."
Leichter meende dat zelfs als mensen enige wettelijke controle zouden kunnen uitoefenen over gegevens die in het publieke domein zijn geplaatst, het onmogelijk zou zijn om het af te dwingen, en het zou in elk geval geen snode activiteiten afschrikken.
McElroy was het daarmee eens en zei dat de uitspraak een geweldige herinnering is dat mensen hun openbaar toegankelijke informatie moeten beperken, aangezien dat de enige echte mogelijkheid is om hen te beschermen tegen toekomstige aanvallen.
"De enige praktische oplossing voor personen die zich zorgen maken over privacy is om te stoppen met te veel delen en goed na te denken over alles wat je openbaar plaatst", stelde Leichter voor.
