LinkedIn megnyeri a jogsértés kárának elutasítását masszív jelszószegés miatt

A professzionális közösségi hálózatépítő szolgáltatás A LinkedIn megnyerte az olyan prémium felhasználóknak nyújtott kártérítést kereső pert, amelynek bejelentkezési jelszavak, amelyek a vállalat szervereinek tavalyi megsértése miatt merültek fel.

Az adatszegés 2012 június elején jelent meg, miután a hackerek 6,5 millió jelszóelosztást gyűjtöttek össze a LinkedIn számlákon egy földalatti fórumon. A jelszavakat több mint 60 százaléka később feltörték a hackerek.

A LinkedIn-re vonatkozó első panaszt 2012. június 15-én benyújtották az Egyesült Államok Kerületi Bíróságának az Észak-Kaliforniai Kerületi Bírósághoz egy Illinois lakóhellyel és fizetett LinkedIn számlával

A panasz azt állította, hogy a LinkedIn megsértette saját felhasználói szerződését és adatvédelmi szabályzatát, mivel nem alkalmazta az iparági szabvány protokollokat és technológiát az ügyfelek védelme érdekében "személyazonosításra alkalmas adatok, beleértve az e-mail címeket, a jelszavakat és a bejelentkezési adatokat.

A módosított panaszt 2012. november 26-án benyújtották Szpyrka nevében és egy újabb prémium felhasználónak, Khalilah Gilmore-Wright minden olyan LinkedIn felhasználó számára, akit a jogsértés érintett. A pert a "fellebbezők és más méltányos megkönnyebbülés", valamint a felperesek és az osztály tagjainak kártalanítása és kártérítése követte.

A panasz részletei

A panasz azt állította, hogy a LinkedIn nem tudta megfelelően védeni a felhasználói adatokat, a saját adatvédelmi irányelvei ellenére, hogy "az Ön által megadott személyes adatokat az iparági szabvány protokollok és technológiák szerint biztosítja."

"A probléma ezzel a gyakorlattal kétszeres, "mondta a panasz. "Először is, az SHA-1 egy elavult hasítófunkció, amelyet 1995-ben a Nemzetbiztonsági Ügynökség publikált. Másodszor, a felhasználói jelszavak elrejtett formátumban történő tárolása anélkül, hogy először" sózaná "a jelszót, a hagyományos adatvédelmi módszerekből ered, a felhasználók érzékeny adatainak sértetlenségéhez. "

A jelszószórás az egyirányú titkosítás egyik formája. A jelszó hash egy egyszerű szöveges jelszó titkosítási ábrázolása, de a kétirányú titkosítási funkcióval generált titkosított szövegtől eltérően a hasított fájlokat nem kell visszafejteni. Amikor a felhasználók bejelentkeznek és megadják a jelszavukat, a jelszó megszakad, és az így keletkezett hash az adott felhasználó adatbázisában már tárolt adatnak felel meg.

A régebbi hash függvények, mint például az SHA-1 gyorsak és hatékonyak, de sebezhetőek a brute force támadásokkal szemben is. Emiatt gyakori, hogy minden egyes jelszóhoz egyedi és véletlenszerű karakterláncot csatolunk a hasmenés előtt. Ez a "sózás" és a jelszó hash repedése sokkal nehezebbé válik.

A panasz azt állította, hogy ha Szpyrka és Gilmore-Wright tudta volna, hogy a LinkedIn nem megfelelő titkosítást használ, akkor nem lett volna kifizette a prémium LinkedIn számlákat, amelyek 19,95 $ és 99,95 dollár havonta az előfizetés típusától függően.

"Feliratkozók és az osztály tagjaira hivatkozva a" premium "számla feliratkozásakor és megvásárlásakor a LinkedIn képviseletére támaszkodott, hogy" iparági szabvány protokollokat és technológiát "használ az integritás megőrzése érdekében és bizalmasan kezeli személyes adataikat, amikor megállapodik a számlák létrehozásáról és a PII-k átadásáról a vállalat számára "- mondta a panasz.

A panasz azt is kifejtette, hogy a felperesek által fizetett havi díjakat vagy azok egy részét a LinkedIn az adatkezelés és -biztonság adminisztratív költségeinek fedezésére, és ezért megfelelnek az iparági szabvány protokollok és technológiák használatának ígéretének.

Bírósági keresetek

Kedden a bíróság a LinkedIn azon indítványára utasította el a panaszt, hogy elutasítja a panaszt azzal a céllal, hogy a vállalat Felhasználói Megállapodása és Adatvédelmi Szabályzata megegyezik az ingyenes számlákkal, mint a prémiumszámlákra.

"A LinkedIn hogy a fizetési prémium számlatulajdonosok a biztonsági protokollok tekintetében a nem fizető tagok részére is részesüljenek "- mondta a bíró a peres eljárás elutasításáról. "Így amikor egy tag prémium fiók frissítést vásárol, az alku nem egy bizonyos szintű biztonsághoz, hanem valójában olyan fejlett hálózati eszközökhöz és képességekhez, amelyek elősegítik a LinkedIn szolgáltatásainak fokozott használatát.A FAC [az első módosított összevont panasz] elegendő bizonyíték arra, hogy a felpereseknek a prémium tagsághoz való kötődésébe beletartozó egy olyan (vagy nagyobb) biztonsági szint ígérete volt, amely nem része a szabad tagságnak. "

Továbbá a bíró azt állította, hogy a felperesek nem is állítják hogy valójában elolvassák az adatvédelmi politikát, amelyre a LinkedIn nevében vissza kell állítani a hamis nyilatkozatot.

Szóbeli érvekben a felperes ügyvédje azt állította, hogy a peres eljárás elsősorban a szerződés állítólagos megsértésén alapul, ilyen állítás állt, az alpereseknek meg kellett határozniuk az állítólagos szerződésszegésből eredő károkat. A felperesek által felhozott sérelem az állítólagos szerződésszegés előtt történt, amikor a felek először a szerződést kötötték, mondta a bíró. Emiatt a gazdasági veszteségük nem állhat az okozott kárból a szerződés állítólagos megsértéséből. "

Olyan esetekben, amikor az állítólagos jogsértés a termék funkcióinak elégtelen végrehajtására vonatkozó állításokból származik, a bíróságok úgy döntöttek, hogy a felpereseknek azt állítja, hogy "valami többet", mint egy hibás termék túlfizetését, mondta a bíró. "Mivel a felperesek vitatják azt a módot, ahogyan a LinkedIn végezte a biztonsági szolgáltatásokat, a tiszta gazdasági károkkal szemben" valami többet "kell állnia, ez a" valami több "kárt okozhat a hiányos biztonsági szolgáltatások és a biztonság megsértése miatt mint pl. a személyazonosításra alkalmas adatok eltulajdonítása. "