Akuzat e CFAA të Ryanair kundër Booking.com Nuk kanë të bëjnë me Hackingun Aktual

Ligji për Mashtrimin dhe Abuzimin me Kompjuterët (CFAA) supozohet të jetë për sulme ndaj sistemeve kompjuterike. Nuk është, siç sugjeroi një gjykatë federale në Ryanair kundër Booking.com, i aplikueshëm kur dikush përdor kredenciale të vlefshme hyrjeje për të aksesuar informacione për të cilat ato kredenciale ofrojnë akses. Tani që çështja është në apel, EFF ka paraqitur një dokument amicus duke kërkuar nga Gjykata e Tretë që të sqarojë se kjo çështje është për shkelje të politikës, jo për hacking, dhe nuk përfshihet si akses “pa autorizim” sipas CFAA.

Çështja lidhet me transparencën në çmimet e biletave ajrore. Ryanair ankoi se Booking ripublikoi çmimet e Ryanair, disa prej të cilave ishin të dukshme vetëm kur një përdorues ishte i kyçur. Ryanair dërgoi një urdhër ndalese dhe ndalese, por nuk deaktivoi emrat e përdoruesve dhe fjalëkalimet që lidhen me ata përdorues që ata nuk i pëlqenin. Kur përdoruesit që supozohet se janë lidhur me Booking vazhduan të përdorin ato kredenciale për të mbledhur të dhëna për çmimet, Ryanair pretendoi se ishte shkelje e CFAA. Nëse kjo nuk tingëllon si “hacking kompjuterik” për ju, jeni të drejtë.

Fjala CFAA ka dështuar për hulumtim, siguri, konkurrencë dhe inovacion. Për vite kemi punuar për ta kufizuar atë në qëllimin fillestar të Kongresit: hacking të vërtetë që kalon mbrojtjen e sigurisë së kompjuterit. Nuk duhet të ketë asgjë të përbashkët me pretendimet e Ryanair këtu: ajo që është një shkelje e kushteve të përdorimit sepse informacioni që është arritur është i disponueshëm për këdo me kredenciale hyrjeje. Ky është rruga që është përcaktuar në Van Buren kundër Shteteve të Bashkuara, ku Gjykata e Lartë shpjegoi se “autorizimi” i referohet koncepteve teknike të autentifikimit të kompjuterit. Siç thamë në dokumentin tonë:

Fjala CFAA nuk i aplikohet çdo personi që thjesht shkel kushtet e shërbimit duke ndarë kredencialet e llogarisë me anëtarë të familjes ose duke mbajtur informacione të ndjeshme si emri i vërtetë dhe data e lindjes kur hap një llogari.

Duke ndërtuar mbi vendimet e mira në Van Buren dhe vendimin e Gjykatës së Tretë në hiQ Labs kundër LinkedIn, ne kemi kërkuar në Gjykatën e Tretë që të përcaktojë qartë se shkaktimi i një shkelje të CFAA kërkon kalimin e një teknologjie që kufizon aksesin. Në këtë rast, kredencialet e hyrjes që u krijuan ishin hyrje të vlefshme. Por rregulli i miratuar nga gjykata më e ulët do të kriminalizonte shumë sjellje të përditshme, si hyrja në një llogari shërbimi streaming me kredenciale të partnerit, ose hyrja në llogarinë bankare të bashkëshortit për të paguar një faturë në emër të tyre. Kjo nuk është hacking ose shkelje e CFAA, është thjesht shkelje e dëshirave të kompanisë në Kushtet e Shërbimit të saj.

Kjo rregull do të ishte veçanërisht e rrezikshme për gazetarët dhe hulumtuesit akademikë. Hulumtuesit shpesh krijojnë lloje të ndryshme llogarish testuese. Për shembull, nëse po hulumtojnë se si një shërbim tregon ofertat e banesave, ata mund të krijojnë llogari të ndryshme të lidhura me racë, gjini ose gjuhë të ndryshme. Këto teknika mund të jenë armiqësore ndaj kompanisë, por nuk duhet të jenë të paligjshme. Por sipas mendimit të gjykatës, nëse një kompani kundërshton këtë lloj hulumtimi, ajo nuk mund të ndalojë thjesht përdoruesit të përdorin faqen, por mund ta bëjë atë hulumtim të kriminualizuar duke dërguar vetëm një letër që njofton hulumtuesin se nuk është i autorizuar të përdorë shërbimin në këtë mënyrë.

Shumë shembuj të tjerë dhe teknika të zakonshme hulumtuese të përdorura nga gazetarët, hulumtuesit akademikë dhe ekspertët e sigurisë do të ishin në rrezik nën këtë rregull, por rezultati përfundimtar do të ishte i njëjtë pavarësisht: do të frenonte hulumtimin e vlefshëm që na mban të gjithëve më të sigurt online.

Një interpretim i gjerë i CFAA në këtë rast do të dëmtonte gjithashtu konkurrencën duke ofruar një mënyrë për kompanitë të kufizojnë mbledhjen e të dhënave, duke bllokuar një nga mënyrat se si faqet e internetit ofrojnë mjetet për krahasimin e çmimeve dhe veçorive.

Gjykatat duhet të ndjekin udhëzimin e Van Buren dhe ta interpretojnë CFAA-në në mënyrë të ngushtë, ashtu siç ishte projektuar. Hyrja në një faqe publike me kredenciale të vlefshme, edhe nëse mbledh të dhënat pasi je kyçur, nuk është hacking. Një interpretim i gjerë çon në pasoja të papritura, dhe pronarët e faqeve nuk kanë nevojë për mbrojtje të re kundër përgjegjësisë së pavarur.

Ju mund të lexoni dokumentin tonë amicus këtu.