全球隐私大会警告数据抓取的隐私风险

数据抓取是从网络和移动applications自动提取数据。 数据抓取工具提取数据的原因有很多，从获取竞争优势到汇总数据进行价格比较。 组织通常会尝试阻止抓取，因为他们不希望竞争对手获取其定价或库存数据，或者因为抓取流量会影响应用程序的性能。 在许多情况下，抓取流量可能占到总流量的 95% 以上，并可能导致applications变慢甚至崩溃。

隐私法规旨在保护个人的数据隐私权，使他们能够决定谁可以出于何种目的使用他们的数据以及使用多长时间。 当用户在社交媒体上分享数据时，他们希望应用程序的隐私设置和政策中规定的特定人群可以查看这些数据。 当这些数据在个人不知情的情况下被抓取时，个人将失去对其个人信息的控制，因为抓取工具可能会以与预期目的无关的方式使用这些信息。

数据抓取还侵犯了个人要求删除或更正其个人数据的权利。 一旦数据被抓取，即使创建者从社交媒体网站上删除了数据，抓取者仍会继续使用和共享这些数据。

根据 GPA 的联合声明，对个人数据失去控制会使个人在多个方面面临风险。 犯罪分子可能会利用这些数据进行社会工程、有针对性的网络钓鱼和身份欺诈。 这些数据可能使犯罪分子能够分析个人情况，以绕过授权系统。 不够谨慎的营销人员可能会利用这些数据进行直接营销和垃圾邮件。

根据 GPA 的联合声明，即使在互联网上公开，个人信息也受数据保护法的约束。 这意味着，在许多司法管辖区中，大规模抓取个人信息可能构成可报告的数据泄露。

联合声明建议采取措施防止数据抓取，这是许多司法管辖区的法定要求，并且可能“被法院和数据保护机构如此解释”。

为了减轻数据抓取的隐私风险，GPA 建议采取多层次的技术和程序控制，首先要成立指定团队来实施控制并监控其有效性。 其他控制包括限制用户速率、监控社交网络内的快速链接、对数据抓取者采取法律行动以确保删除数据，以及将构成数据泄露的抓取活动通知个人和监管机构。

作为多层控制的一个组成部分，GPA 还建议减轻抓取数据的机器人的影响。 联合声明特别提到了 CAPTCHA 和 IP 速率限制。 想要有效的多层保护的组织应该考虑使用信号收集和人工智能来缓解绕过 CAPTCHA 和 IP 速率限制的高级机器人的机器人管理解决方案。

如果我们根据网络钓鱼的最新发展来考虑数据抓取，对个人隐私的威胁将变得更加令人担忧。 网络钓鱼即服务 (PhaaS) 供应商提供了发起网络钓鱼攻击的全套工具，包括电子邮件模板、看似真实的虚假网站、潜在目标的联系方式、详细的操作说明和客户支持，所有这些都使得网络钓鱼对于低技术攻击者来说也更有效。 此外，网络钓鱼已成为通过实时网络钓鱼代理绕过 MFA 的主要手段，欺骗用户向攻击者控制的应用程序提交一次性密码。 （请参阅 F5 实验室关于网络钓鱼如何导致 MFA 失效的报告。）

我们应该期待，通过application大型语言模型，网络钓鱼将变得越来越有效。 有报道称，暗网上出现了WormGPT 和 FraudGPT等新型攻击工具出售，这表明犯罪分子已经开始利用生成式人工智能进行网络钓鱼等邪恶目的。 这些工具几乎肯定会受益于从多个应用程序中抓取的个人数据来制作有效的、个性化的网络钓鱼信息，这一发展可能会导致鱼叉式网络钓鱼的自动化。