LinkedIn wygrywa pozew o odszkodowanie za masowe naruszenie hasła

Profesjonalna sieć społecznościowa LinkedIn wygrał sprawę o odszkodowanie w imieniu użytkowników premium, którzy hasła logowania ujawnione w wyniku naruszenia bezpieczeństwa serwerów firmy w zeszłym roku.

Naruszenie bezpieczeństwa danych ujawniło się na początku czerwca 2012 r., po tym jak hakerzy zamieścili 6,5 miliona haseł haseł odpowiadających kontom LinkedIn na podziemnym forum. Ponad 60 procent tych skrótów haseł zostało później złamanych przez hakerów.

Pierwsza skarga na LinkedIn została złożona w dniu 15 czerwca 2012 r. W Sądzie Okręgowym dla Północnego Dystryktu Kalifornii przez rezydenta stanu Illinois i opłaconego konta LinkedIn właściciel o imieniu Katie Szpyrka.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Skarga zarzuciła, że ​​LinkedIn złamała własną umowę użytkownika i politykę prywatności, nie wykorzystując standardowych protokołów i technologii w celu ochrony swoich klientów "informacje umożliwiające identyfikację osoby, w tym adresy e-mail, hasła i dane logowania.

Zmieniona skarga została złożona 26 listopada 2012 r. w imieniu Szpyrki oraz innego użytkownika LinkedIn z Virginia, Khalilah Gilmore-Wright, jako przedstawicieli klasy dla wszystkich użytkowników LinkedIn, którzy zostali dotknięci naruszeniem. Pozew domagał się "nakazu sądowego i innego rodzaju słusznego zwolnienia", a także zwrotu i odszkodowań dla powodów i członków klasy.

Szczegółowe informacje dotyczące skargi

Skarga zarzuca, że ​​LinkedIn nie zdołał odpowiednio chronić danych użytkowników, ponieważ był przechowywany hasła używające słabej kryptograficznej funkcji mieszania bez dodatkowej ochrony, pomimo własnej Polityki prywatności, stwierdzającej, że "dane osobowe podane przez użytkownika będą zabezpieczone zgodnie ze standardowymi protokołami i technologią."

"Problem z tą praktyką jest dwojaki, "skarga powiedziała. "Po pierwsze, SHA-1 jest przestarzałą funkcją haszującą, po raz pierwszy opublikowaną przez National Security Agency w 1995 roku. Po drugie, przechowywanie haseł użytkowników w formacie mieszanym bez wcześniejszego" solenia "hasła działa wbrew konwencjonalnym metodom ochrony danych i stwarza znaczne ryzyko integralności wrażliwych danych użytkowników. "

Hashowanie hasłem jest formą szyfrowania jednokierunkowego. Hash hasła jest unikalną kryptograficzną reprezentacją hasła w postaci zwykłego tekstu, ale w przeciwieństwie do szyfrogramu wygenerowanego za pomocą dwukierunkowej funkcji szyfrowania, hashy nie są odszyfrowane. Kiedy użytkownicy logują się i wprowadzają swoje hasło, hasło jest mieszane w locie, a wynikowy skrót jest porównywany z tym, który jest już przechowywany w bazie danych dla tego użytkownika.

Starsze funkcje mieszające, takie jak SHA-1, są szybkie i wydajne, ale są również podatne na ataki brutalną siłą. Z tego powodu powszechną praktyką jest dołączanie unikatowego i losowego ciągu znaków do każdego hasła przed jego skróceniem. Jest to znane jako "solenie" i znacznie utrudniało łamanie haseł.

Skarga utrzymywała, że ​​gdyby Szpyrka i Gilmore-Wright wiedzieli, że LinkedIn używa substandardowego szyfrowania, nie zapłaciliby za konta premium w serwisie LinkedIn, które kosztowałyby od 19,95 USD. i 99,95 USD miesięcznie w zależności od rodzaju subskrypcji.

"Podczas rejestracji i zakupu konta" premium ", Powodowie i członkowie Klasy polegali na reprezentacji LinkedIn, że używa" standardowych protokołów i technologii "w celu zachowania integralności i bezpieczeństwo ich danych osobowych w zgodzie na założenie konta i dostarczenie firmie danych osobowych firmie ", napisano w skardze

Skarga podniosła również, że miesięczne opłaty płacone przez powodów lub część z nich były wykorzystywane przez LinkedIn na pokrycie kosztów administracyjnych związanych z zarządzaniem danymi i bezpieczeństwem, a zatem jest zgodna z obietnicą stosowania standardowych protokołów i technologii zabezpieczeń.

Pozwy sądowe

We wtorek sąd uwzględnił wniosek LinkedIn o oddalenie skargi z uwagi na to, że umowa użytkownika i polityka prywatności firmy są takie same dla kont darmowych, jak i kont premium.

"Każda domniemana obietnica LinkedIn do opłacania posiadaczy rachunków premium w związku z protokołami bezpieczeństwa zostało również skierowane do członków niepłacących ", sędzia powiedział w swoim postanowieniu o odrzuceniu pozwu. "W związku z tym, gdy użytkownik kupuje aktualizację konta premium, okazja nie jest związana z określonym poziomem bezpieczeństwa, ale w rzeczywistości z zaawansowanymi narzędziami sieciowymi i funkcjami ułatwiającymi rozszerzone korzystanie z usług LinkedIn." FAC [First Amended Consolidated Complaint] nie dostatecznie wykazać, że zawarcie w procedurze powodzenia dla członków premium było obietnicą szczególnego (lub wyższego) poziomu bezpieczeństwa, który nie był częścią bezpłatnego członkostwa. "

Ponadto, jak stwierdził sędzia, powodowie nawet nie twierdzą że faktycznie przeczytali Politykę Prywatności, która byłaby wymagana do poparcia roszczenia o wprowadzenie w błąd w imieniu LinkedIn.

W ramach ustnych argumentów, obrońca powodów twierdził, że pozew opiera się głównie na domniemanym naruszeniu umowy, ale dla taki powództwo, pozwani musieli określić szkody wynikające z domniemanego naruszenia umowy. Szkoda, o którą powoływali się powodowie, miała miejsce przed domniemanym naruszeniem umowy, w chwili, gdy strony po raz pierwszy zawarły umowę, powiedział sędzia. W związku z tym, strata ekonomiczna, o której twierdzą, nie może być "wynikającym z tego odszkodowaniem" za rzekome naruszenie umowy, powiedział.

W przypadkach, gdy domniemana nieprawidłowość wynikała z zarzutów niewystarczającego wykonywania funkcji produktu, sądy orzekły, że powód musi twierdzą, że "coś więcej" niż przepłacanie za wadliwy produkt. "Ponieważ Powodowie kwestionują sposób, w jaki LinkedIn wykonuje usługi bezpieczeństwa, muszą domagać się" czegoś więcej "niż czysto ekonomicznej krzywdy.To" coś więcej "może być szkodą, która nastąpiła w wyniku niedostatecznych zabezpieczeń i naruszenia bezpieczeństwa takie jak na przykład kradzież ich danych osobowych. "