A Assembleia Global de Privacidade Alerta sobre os Riscos de Privacidade do Scraping

A extração de dados é a extração automatizada de dados de aplicativos da web e móveis. Os scrapers extraem dados por vários motivos, desde obter vantagem competitiva até agregar dados para comparações de preços. As organizações geralmente tentam evitar a raspagem porque não querem que os concorrentes tenham acesso aos seus dados de preços ou inventário ou porque o volume de tráfego de raspagem afeta o desempenho do aplicativo. Em muitos casos, o tráfego de scraping pode ser responsável por mais de 95% do tráfego geral e pode deixar os aplicativos lentos ou até mesmo travar.

Os regulamentos de privacidade visam proteger os direitos de privacidade de dados dos indivíduos, permitindo que eles decidam quem pode usar seus dados, para qual finalidade e por quanto tempo. Quando os usuários compartilham dados nas redes sociais, eles pretendem que eles sejam visualizados por um determinado grupo de pessoas, conforme estabelecido nas configurações e políticas de privacidade do aplicativo. Quando esses dados são coletados sem seu conhecimento, os indivíduos perdem o controle de suas informações pessoais, pois os coletores podem usá-las de maneiras diferentes da finalidade pretendida.

A extração de dados também viola o direito dos indivíduos de solicitar a exclusão ou correção de seus dados pessoais. Depois que os dados forem coletados, mesmo que o criador os exclua do site de mídia social, os coletores continuarão usando e compartilhando esses dados.

Essa perda de controle sobre dados pessoais, de acordo com a declaração conjunta do GPA, coloca os indivíduos em risco de várias maneiras. Os criminosos podem usar esses dados para engenharia social, phishing direcionado e fraude de identidade. Os dados podem permitir que criminosos criem perfis de indivíduos com a intenção de contornar sistemas de autorização. E profissionais de marketing menos escrupulosos podem usar os dados para marketing direto e spam.

De acordo com a declaração conjunta do GPA, as informações pessoais, mesmo quando disponíveis publicamente na internet, estão sujeitas às leis de proteção de dados. Isso significa que a coleta em massa de dados pessoais pode constituir uma violação de dados passível de notificação em muitas jurisdições.

A declaração conjunta recomenda medidas para evitar a extração de dados que são exigidas por requisitos estatutários em muitas jurisdições e podem ser “interpretadas como tal por tribunais e autoridades de proteção de dados”.

Para mitigar os riscos de privacidade da extração de dados, o GPA recomenda controles técnicos e processuais em várias camadas, começando com a criação de uma equipe designada para implementar os controles e monitorar sua eficácia. Outros controles incluem limitação de taxa de usuários, monitoramento de links rápidos dentro da rede social, tomada de medidas legais contra scrapers de dados para garantir a exclusão de dados e notificação de indivíduos e reguladores sobre atividades de scraping que constituem uma violação de dados.

Como um componente dos controles multicamadas, o GPA também recomenda mitigar os bots que coletam dados. A declaração conjunta menciona especificamente CAPTCHA e limitação de taxa de IP. Organizações que desejam proteção eficaz em várias camadas devem considerar soluções de gerenciamento de bots que usam coleta de sinais e IA para mitigar bots avançados que ignoram CAPTCHA e limitação de taxa de IP.

Se considerarmos a coleta de dados à luz dos desenvolvimentos recentes em phishing , a ameaça à privacidade individual se torna ainda mais alarmante. Os fornecedores de Phishing-as-a-Service (PhaaS) fornecem conjuntos de ferramentas completos para lançar ataques de phishing, incluindo modelos de e-mail, sites falsos projetados para parecerem autênticos, detalhes de contato de alvos em potencial, instruções detalhadas de como fazer e suporte ao cliente, tudo isso torna o phishing mais eficaz até mesmo para invasores pouco qualificados. Além disso, o phishing se tornou o principal meio de contornar o MFA por meio de proxies de phishing em tempo real que enganam os usuários, fazendo-os enviar senhas de uso único em aplicativos controlados por invasores. (Veja o relatório do F5 Labs sobre como o phishing está tornando o MFA ineficaz.)

Devemos esperar que o phishing se torne cada vez mais eficaz por meio da aplicação de grandes modelos de linguagem. Relatos de novas ferramentas de ataque à venda na dark web, incluindo WormGPT e FraudGPT , indicam que criminosos começaram a adaptar IA generativa para propósitos nefastos, incluindo phishing. Essas ferramentas quase certamente se beneficiarão da ingestão de dados pessoais coletados de vários aplicativos para criar mensagens de phishing eficazes e personalizadas, um desenvolvimento que pode levar à automação do spear phishing.