这周我谈论 Trello 的时间比我预期的要长,部分原因是我认为他们所提出的叙述没有正确承认他们对这一事件的责任,部分原因是我认为抓取的影响总体上被误解了。我怀疑我们中的许多人倾向于以一种非常二元的方式看待这个问题:如果数据无论如何都是可公开访问的,那么抓取它就不会带来任何风险。但在我看来,通过浏览器在 LinkedIn 上查看一个人的个人信息与离线保存数百万条相同数据记录的语料库之间存在天壤之别。在我们讨论 Trello 案例中的问题之前,第三方是否应该能够将电子邮件地址与用户名和 IRL 名称进行匹配。
为了添加更多观点,我在发布这篇博文之前刚刚发布了一项民意调查,让我们看看群众怎么说:
抓取:如果个人的个人数据已经在服务上公开访问,我们是否应该担心个人数据是否被抓取、汇总并重新分发?投票,如果可能的话,在回复中添加更多上下文。
— 特洛伊·亨特 (@troyhunt) 2024 年 1 月 28 日
参考
- 赞助者:Report URI:保护您免受流氓 JavaScript 的侵害!不要被骗;获取实时警报并防止违规#SecureYourSite
- Trello 抓取并公开发布了 1500 万条记录(不知何故,叙述感觉像是在推翻一开始从未说过的事情)
- “所有违规行为之母”……事实并非如此(某人留下现有违规行为的个人藏品并不会使所有内容再次被违规)
- HIBP 得到了我们网络安全议员的称赞(我仍然对这项小服务已成为多么主流感到着迷?)