Princípios importantes
- Um tribunal dos EUA decidiu que a extração de dados públicos de sites como o LinkedIn não é ilegal.
- Os defensores da privacidade sugerem que a atividade pode ser usada para identificar novos alvos e ajustar os ataques de phishing.
-
A única opção para as pessoas é parar de compartilhar demais, dizem os especialistas.
Hackers estão literalmente raspando o fundo do barril para ajustar seus ataques, e agora eles têm a bênção dos tribunais.
O Nono Circuito de Apelações dos EUA decidiu que a extração de dados públicos não é contra a lei. Web scraping é o termo técnico para extrair informações de um site. Por exemplo, quando você copia algum texto de um artigo como uma citação, isso é raspagem. Ele entra em uma área legal cinzenta quando a raspagem é feita por programas automatizados que raspam sites inteiros, especialmente aqueles que contêm informações pessoais, como nomes e endereços de e-mail.
"A enorme quantidade de informações que podem ser extraídas livremente da Internet é motivo de preocupação para indivíduos e organizações, pois essas informações [por exemplo] podem ser facilmente usadas por invasores para ajudar a melhorar os ataques de phishing ", Rick McElroy, estrategista principal de segurança cibernética da VMware, disse à Lifewire por e-mail.
Entre em uma confusão
A decisão faz parte de uma batalha legal entre o LinkedIn e a hiQ Labs, uma empresa de gestão de talentos que usa dados públicos do LinkedIn para analisar o desgaste dos funcionários.
Isso não combina com a rede social profissional, que há muito argumenta que a atividade ameaça a privacidade de seus usuários. Além disso, o LinkedIn alega que a raspagem é contra seus termos de serviço e equivale a hacking, conforme descrito no Computer Fraud and Abuse Act (CFAA).
Grupos de defesa da privacidade, como a Electronic Frontier Foundation (EFF), têm criticado a CFAA, dizendo que a lei de três décadas não foi elaborada com as sensibilidades da era da internet em mente.
A única solução prática para indivíduos preocupados com privacidade é parar de compartilhar demais…
Em sua crítica, a EFF observa que se esforça para fazer com que os tribunais e os formuladores de políticas entendam como a CFAA minou a pesquisa de segurança. Ele tem como alvo o LinkedIn por sua tentativa de transformar uma lei criminal destinada a lidar com invasões de computadores em uma ferramenta para impor políticas corporativas de uso de computadores, essencialmente restringindo o acesso livre e aberto a informações publicamente disponíveis.
LinkedIn não vê o web scraping da mesma forma. Em uma declaração ao TechCrunch, o porta-voz do LinkedIn, Greg Snapper, disse que a empresa está desapontada com a decisão do tribunal e continuará lutando para proteger a capacidade das pessoas de controlar as informações que disponibilizam no LinkedIn. Snapper afirmou que a empresa não se sente confortável quando os dados das pessoas são obtidos sem permissão e usados de maneiras com as quais elas não concordaram.
Procurando Encrenca
Embora o hiQ tenha assumido que uma decisão contra a extração de dados poderia "afetar profundamente o acesso aberto à Internet", houve vários incidentes de dados copiados sendo disponibilizados em fóruns clandestinos para fins nefastos.
Em 2021, a CyberNews compartilhou que os agentes de ameaças conseguiram extrair dados de mais de 600 milhões de perfis de usuários no LinkedIn, colocando-os à venda por uma quantia não revelada. Notavelmente, esta foi a terceira vez nos últimos quatro meses que dados extraídos de milhões de perfis públicos de usuários do LinkedIn foram colocados à venda.
CyberNews acrescentou que, embora os dados não sejam profundamente confidenciais, ainda podem colocar os usuários em risco de spam e expô-los a ataques de phishing. Os detalhes também podem ser (ab)usados por agentes mal-intencionados para encontrar novos alvos de maneira rápida e fácil.
Willy Leichter, CMO da LogicHub, acredita que há questões legais e de privacidade difíceis em ambos os lados deste caso.
"[A decisão] basicamente codifica a forma como a internet funciona na prática [portanto] se você compartilhar algo publicamente, você perdeu permanentemente o controle exclusivo sobre esses dados, fotos, postagens aleatórias ou informações pessoais ", alertou Leichter em uma troca de e-mail com Lifewire. "Você deve assumir que será copiado, arquivado, manipulado ou até mesmo usado como arma contra você."
Leichter opinou que, mesmo que as pessoas pudessem reivindicar algum controle legal sobre os dados postados em domínio público, seria impossível aplicá-lo e não impediria atividades nefastas em nenhum caso.
McElroy concordou, dizendo que a decisão serve como um ótimo lembrete de que as pessoas devem limitar suas informações publicamente acessíveis, pois esse é o único recurso real disponível para protegê-las de ataques futuros.
"A única solução prática para indivíduos preocupados com privacidade é parar de compartilhar demais e pensar cuidadosamente sobre qualquer coisa que você postar publicamente", sugeriu Leichter.
