商业社交人脉网站 LinkedIn 上周起诉了 100 位匿名使用机器人来盗取其网站上使用者资料的盗取者。这起诉讼是希望能维护 LinkedIn 网站保存的这些“使用者履历表”,并同时为找出这些盗取者身份的准备措施;LinkedIn 打算要求法院揭示这些背后盗取资料的真实身份及 IP 地址。
微软前些时日以 262 亿美元收购 LinkedIn,创下微软史上最大规模的购并。本次的诉讼也同时引发如何规定机器人使用的讨论,LinkedIn 援引具争议性的计算机欺诈与滥用法案(CFAA,以下简称 CFAA),认为这些匿名网站资料撷取者的行为形同骇客。“从 2015 年 12 月以来,有几个匿名个人(或企业)透过机器人来取得 LinkedIn 的资料并越过 LinkedIn 网站所设立的几道防线,同时也刻意违反关于‘LinkedIn 用户同意条款’规定的访问与使用限制,已经违反了联邦法律及 CFAA。”诉讼书上面这样提到。
CFAA 允许企业对于利用未被授权的使用者权限闯入受保护电脑的案件提出告诉,但该法被批评将违反服务条款犯罪化,同时也未通过几位议员的修正案,因此有些争议。
诉讼书上详细提到 LinkedIn 防止网站资料撷取的几道防线。公司运用 Dubbed FUSE 及 Quicksand and Sentinel 来追踪其使用者可以浏览其他个人档案的权限,为了防止注册假的 LinkedIn 账号并大肆收刮网站资料。另外透过 Org Block 来封锁可能撷取资料的来源并使用 Member and Guest Request Scoring 来追踪网页浏览要求。
但矛盾地,LinkedIn 却不想要封锁所有可能撷取资料的来源,它允许 Google 等大型搜索引擎使用机器人取得资料以显示于相关搜寻结果。LinkedIn 列出一些“具声望的”搜索引擎或平台,允许他们不受限制取得其资料;而此次诉讼则是针对那些避开 LinkedIn 防止机器人工具而透过这些搜索引擎或平台传出要求的盗取者。LinkedIn 也没有人说明公司是如何分辨好或不好的资料撷取。可以推测 LinkedIn 可能是将所有企图绕过其防护措施的来源视为不好的资料撷取,因其有提供这些平台特定的管道,而其他人势必没有。
目前还未知 LinkedIn 公司此举到底是为避免何种情况,诉状上也未说明清楚,也许是为了压制其竞争者,又或许是针对 ICWATCH 这个搜集履历情报的研究报告。
LinkedIn 此次的诉讼拥有许多之前的先例,而诉讼结果大多是对原告有利。举例来说,Twitch 这个现场直播网站今年暑假才被控告使用浏览机器人来膨胀其网站的浏览人数,唯该次诉讼仍包含一些其他的资安问题,包含商标侵权。
Electronic Frontier Foundation 提出,各家公司都会想要找出这些盗取资料的机器人是合理,但由于针对特定平台又采欢迎的态度,如此将创造一个反竞争的商业环境。“如果此案确定违法,就是给了这些搜索引擎独占力量,如此他们将能占据整个网络世界。透过 CFAA 来约束此种行为减少了竞争,并防止创新,这不该是这项诉讼希望达成的结果。”
但 LinkedIn 认为这种双轨并行的方式才能保障其会员的权益,本案将在美国圣荷西地方法院进行审理。
参考资料
- LinkedIn sues anonymous data scrapers
(首图来源:Flickr/Ben Scholzen CC BY 2.0)
