LinkedIn osvaja otkazivanje tužbe kojom se traži šteta za masivnu povredu lozinke

Stručna usluga društvenog umrežavanja LinkedIn je osvojio otkazivanje tužbe za naknadom štete u ime vrhunskih korisnika koji su imali svoje log-in lozinke izložene kao posljedica sigurnosne povrede poslužitelja tvrtke prošle godine.

Raskidanje podataka došlo je na vidjelo početkom lipnja 2012., nakon što su hakeri objavili 6,5 milijuna zaporki za lozinku koja odgovara LinkedIn računima na podzemnom forumu,

Prva pritužba protiv LinkedIna podnijela je 15. lipnja 2012. godine u Okružnom sudu Sjedinjenih Država u sjevernom dijelu Kalifornije od strane stanovnika Illinois i platili LinkedIn račun

U pritužbi se navodi kako je LinkedIn prekršio svoj Korisnički ugovor i Pravila o privatnosti jer nije iskoristio industrijske standardne protokole i tehnologiju kako bi zaštitio svoje klijente "osobne podatke, uključujući adrese e-pošte, lozinke i vjerodajnice za prijavu.

Izmijenjeni prigovor podnesen je 26. studenoga 2012. u ime Szpyrke i još jednog premium korisnika tvrtke LinkedIn iz Virginije pod nazivom Khalilah Gilmore-Wright, za sve LinkedIn korisnike koji su bili pogođeni kršenjem. Tužba traži "zabranu i drugu pravičnu olakšicu", kao i povrat i odštetu za tužitelje i članove klase.

Detalji prigovora

U pritužbi se navodi da LinkedIn nije uspio adekvatno zaštititi korisničke podatke jer je pohranjen lozinke pomoću slabe kriptografske hash funkcije bez dodatne zaštite, usprkos vlastitoj Politici privatnosti koja navodi da "osobni podaci koje pružate bit će osigurani u skladu s industrijskim standardnim protokolima i tehnologijom."

"Problem s ovom praksom je dvostruki, "rekla je tužba. "Prvo, SHA-1 je zastarjela funkcija raspršivanja, koju je prvi put objavila Agencija za nacionalnu sigurnost 1995. Drugo, pohranjivanje lozinke korisnika u raspršenom formatu bez prethodnog" soljenja "lozinke podliježe uobičajenim metodama zaštite podataka i predstavlja značajne rizike na integritet osjetljivih podataka korisnika. "

Password hashing je oblik jednosmjernog enkripcije. Lozinka hash jedinstven je kriptografski prikaz lozinke čistog teksta, ali za razliku od križnog teksta generiranog dvosmjernom funkcijom šifriranja, ne znači da se hashe neće dešifrirati. Kada se korisnici prijavljuju i unesu svoju lozinku, lozinka se iskrcava u letu, a nastala hash se podudara s onom koja je već pohranjena u bazi podataka za tog korisnika.

Stariji hash funkcije poput SHA-1 su brze i učinkovite, ali su također osjetljivi na napade na silovanje. Zbog toga je uobičajena praksa dodati jedinstveni i slučajni niz za svaku lozinku prije nego što ga iskrvarimo. Ovaj je podatak poznat kao "soljenje" i čini zaporku hash pukotinu puno teže.

U pritužbi se tvrdi da ako Szpyrka i Gilmore-Wright znaju da LinkedIn koristi substandardnu ​​enkripciju, oni ne bi platili za premium LinkedIn račune koji koštaju između 19,95 dolara i 99,95 dolara mjesečno ovisno o vrsti pretplate.

"Pri prijavi i kupnji računa" premium ", tužitelji i članovi Klase se oslanjali na zastupljenost tvrtke LinkedIn da koristi" industrijske standardne protokole i tehnologiju "kako bi sačuvao integritet i sigurnost njihovih osobnih podataka u dogovoru o stvaranju računa i pružanju PII-a tvrtki ", navodi se u pritužbi

Žalba je također tvrdila da su mjesečne naknade koje su platili tužitelji, ili dio njih, koristili LinkedIn platiti administrativne troškove upravljanja podacima i sigurnosti te stoga uskladiti s njegovim obećanjem korištenja industrijskih standardnih sigurnosnih protokola i tehnologija.

Sudske radnje

Sud je u utorak odobrio zahtjev tvrtke LinkedIn za odbacivanje pritužbe na temelju toga što je Korisnički ugovor tvrtke i Pravila o zaštiti privatnosti isti za besplatne račune kao i za premijske račune.

" na plaćanje premijskih vlasnika računa vezanih za sigurnosne protokole također je upućeno neprofesionalnim članovima ", rekao je sudac u svojoj naredbi za odbacivanje tužbe. "Dakle, kada član kupi nadogradnju premium računa, posao ne vrijedi za određenu razinu sigurnosti, već zapravo za napredne alate i mogućnosti mrežnog povezivanja kako bi se olakšalo korištenje usluge LinkedIn. FAC [First Amended Consolidated Complaint] dovoljno dokazati da je uključivanje u tužiteljeve nagodbe za članstvo u premijeri bilo obećanje određene (ili veće) razine sigurnosti koja nije bila dio besplatnog članstva. "

Nadalje, sudac je rekao da tužitelji čak niti ne tvrde da su zapravo pročitali Pravila o zaštiti privatnosti, koja bi trebala poduprijeti zahtjev za pogrešno predstavljanje u ime LinkedIn-a.

U usmenim argumentima braniteljica tužitelja je tvrdila da se tužba prvenstveno temelji na navodnoj povredi ugovora, takav zahtjev da stade, optuženici su trebali odrediti štetu koja proizlazi iz ove navodne povrede ugovora. Ozljeda koju su tražili tužitelji došla je prije navodne povrede ugovora, u trenutku kada su stranke prvi put sklopile ugovor, kazao je sudac. Stoga ekonomski gubitak koji oni tvrde ne može biti "rezultirajuća šteta" od navodnog kršenja ugovora, rekao je on.

U slučajevima kada je navodno pogrešno proizašao iz navoda o nedovoljnoj izvedbi funkcija proizvoda, sudovi su odlučili da tužitelji trebaju tvrde "nešto više" nego samo prekomjerno plaćanje za neispravni proizvod, rekao je sudac. "Budući da tužitelji razgovaraju s načinom na koji su LinkedIn obavljali sigurnosne službe, oni moraju navesti" nešto više "od čiste ekonomske štete. Ovo" nešto više "moglo bi predstavljati štetu koja je nastala uslijed nedostatka sigurnosnih službi i kršenja sigurnosti, kao što je, na primjer, krađa njihovih osobnih podataka. "