LinkedIn κερδίζει την απόλυση της αγωγής ζητώντας αποζημίωση για μαζική παραβίαση κωδικού πρόσβασης

Η επαγγελματική υπηρεσία κοινωνικής δικτύωσης LinkedIn κέρδισε την απόλυση μιας αγωγής ζητώντας αποζημίωση εκ μέρους των premium χρηστών που είχαν Οι κωδικοί πρόσβασης σύνδεσης που εκτίθενται ως αποτέλεσμα παραβίασης της ασφάλειας των εταιρικών διακομιστών πέρυσι.

Η παραβίαση δεδομένων ξεκίνησε στις αρχές Ιουνίου 2012, αφού οι hackers δημοσίευσαν 6,5 εκατομμύρια κωδικούς πρόσβασης που αντιστοιχούν σε λογαριασμούς LinkedIn σε ένα υπόγειο φόρουμ. Περισσότερο από το 60% αυτών των κωδικών πρόσβασης χτυπήθηκαν αργότερα από τους χάκερς.

Η πρώτη καταγγελία κατά της LinkedIn κατατέθηκε στις 15 Ιουνίου 2012 στο αμερικανικό Επαρχιακό Δικαστήριο της Βόρειας Επαρχίας Καλιφόρνιας από κάτοικο του Ιλλινόις και κατέβαλε λογαριασμό στο LinkedIn Ο καταγγέλλων ισχυρίστηκε ότι η LinkedIn παραβίασε τη δική της Συμφωνία Χρήσης και την Πολιτική Προστασίας Προσωπικών Δεδομένων, επειδή δεν χρησιμοποίησε πρότυπα πρωτόκολλα και τεχνολογίες για να προστατέψει τους πελάτες της.

"

Μια τροποποιημένη καταγγελία κατατέθηκε στις 26 Νοεμβρίου 2012 εξ ονόματος της Szpyrka και ενός άλλου χρήστη Premium LinkedIn από τη Βιρτζίνια με την επωνυμία Khalilah Gilmore-Wright, ως εκπρόσωποι της κατηγορίας για όλους τους χρήστες του LinkedIn που επηρεάστηκαν από την παραβίαση. Η αγωγή ζητούσε «παραβίαση και άλλη δίκαιη ανακούφιση», καθώς και αποζημίωση και αποζημίωση για τους ενάγοντες και μέλη της τάξης.

Λεπτομέρειες της καταγγελίας

Η καταγγελία υποστήριξε ότι η LinkedIn απέτυχε να προστατεύσει επαρκώς τα δεδομένα των χρηστών, οι κωδικοί πρόσβασης που χρησιμοποιούν μια αδύναμη κρυπτογραφική λειτουργία κατακερματισμού χωρίς πρόσθετη προστασία, παρά τη δική της Πολιτική Προστασίας Προσωπικών Δεδομένων που δηλώνει ότι "οι προσωπικές πληροφορίες που παρέχετε θα διασφαλίζονται σύμφωνα με τα πρότυπα και την τεχνολογία των τυποποιημένων βιομηχανικών κλάδων"

"Το πρόβλημα με αυτή την πρακτική είναι διπλό, "δήλωσε η καταγγελία. "Πρώτον, η SHA-1 είναι μια ξεπερασμένη συνάρτηση κατακερματισμού, η οποία δημοσιεύθηκε για πρώτη φορά από την Εθνική Υπηρεσία Ασφαλείας το 1995. Δεύτερον, η αποθήκευση των κωδικών πρόσβασης χρηστών σε χασαριστό μορφότυπο χωρίς πρώτα να" αλατιστεί "ο κωδικός πρόσβασης κινείται πέρα ​​από τις συμβατικές μεθόδους προστασίας δεδομένων και δημιουργεί σημαντικούς κινδύνους στην ακεραιότητα των ευαίσθητων δεδομένων των χρηστών. "

Το hash του κωδικού πρόσβασης είναι μια μορφή μονόδρομης κρυπτογράφησης. Ένας hash κωδικού πρόσβασης είναι μια μοναδική κρυπτογραφική αναπαράσταση ενός κωδικού πρόσβασης χωρίς κείμενο, αλλά σε αντίθεση με το κρυπτογραφημένο κείμενο που δημιουργείται με μια λειτουργία αμφίδρομης κρυπτογράφησης, τα hashes δεν προορίζονται να αποκρυπτογραφηθούν. Όταν οι χρήστες συνδεθούν και εισάγουν τον κωδικό πρόσβασης τους, ο κωδικός πρόσβασης χτυπάει με το χέρι και ο προκύπτων hash αντισταθμίζεται με αυτόν που έχει ήδη αποθηκευτεί στη βάση δεδομένων για τον συγκεκριμένο χρήστη

Οι παλαιότερες λειτουργίες κατακερματισμού όπως το SHA-1 είναι γρήγορες και αποδοτικές, αλλά είναι επίσης ευάλωτα σε βίαιες επιθέσεις δυνάμεων. Εξαιτίας αυτού, είναι συνηθισμένη η πρακτική να προσαρμόζετε μια μοναδική και τυχαία συμβολοσειρά σε κάθε κωδικό πρόσβασης πριν την εκτόξευση.

Η καταγγελία υποστήριζε ότι αν οι Szpyrka και Gilmore-Wright είχαν γνωρίσει ότι η LinkedIn χρησιμοποίησε υποβαθμισμένη κρυπτογράφηση, δεν θα είχαν πληρώσει για λογαριασμούς Premium LinkedIn που κοστίζουν μεταξύ $ 19.95 και $ 99,95 ανά μήνα ανάλογα με τον τύπο συνδρομής

"Κατά την εγγραφή και την αγορά ενός λογαριασμού 'premium', οι Ενάγοντες και τα μέλη της Κατηγορίας βασίστηκαν στην εκπροσώπηση του LinkedIn ότι χρησιμοποιεί« πρωτόκολλα και τεχνολογία πρότυπα βιομηχανίας »για τη διατήρηση της ακεραιότητας και την ασφάλεια των προσωπικών τους πληροφοριών, συμφωνώντας να δημιουργήσουν έναν λογαριασμό και να προσκομίσουν τα προσωπικά τους στοιχεία στην εταιρεία », ανέφερε η καταγγελία

Η καταγγελία υποστήριξε επίσης ότι τα μηνιαία τέλη που καταβλήθηκαν από τους ενάγοντες ή μέρος αυτών χρησιμοποιήθηκαν από το LinkedIn να πληρώσουν τα διοικητικά έξοδα διαχείρισης δεδομένων και ασφάλειας και, ως εκ τούτου, να τηρήσουν την υπόσχεσή τους να χρησιμοποιούν πρότυπα πρωτόκολλα και τεχνολογίες ασφάλειας για την βιομηχανία

Δικαστικές αγωγές

Την Τρίτη, το δικαστήριο δέχθηκε την πρόταση της LinkedIn να απορρίψει την καταγγελία με βάση το ότι η Συμφωνία Χρήσης και η Πολιτική Απορρήτου της εταιρείας είναι ίδια για τους δωρεάν λογαριασμούς όπως για τους λογαριασμούς premium. για την καταβολή των κατόχων ασφαλιστικών λογαριασμών σχετικά με τα πρωτόκολλα ασφάλειας έγινε επίσης σε μη πληρώνοντας μέλη ", δήλωσε ο δικαστής στη διαταγή του να απορρίψει την αγωγή. "Έτσι, όταν ένα μέλος αγοράζει μια αναβάθμιση του λογαριασμού premium, η συμφωνία δεν είναι για ένα συγκεκριμένο επίπεδο ασφάλειας, αλλά στην πραγματικότητα για τα προηγμένα εργαλεία και δυνατότητες δικτύωσης για τη διευκόλυνση της αυξημένης χρήσης των υπηρεσιών του LinkedIn. αποδεικνύουν επαρκώς ότι συμπεριλαμβανόταν στην συμφωνία των συνεργατών για την ιδιότητα μέλους της πριμοδότησης ήταν η υπόσχεση ενός συγκεκριμένου (ή υψηλότερου) επιπέδου ασφάλειας που δεν ήταν μέρος της ελεύθερης συμμετοχής ».

Επιπλέον, ο δικαστής δήλωσε ότι οι ενάγοντες δεν ισχυρίζονται καν ότι διαβάζουν στην πραγματικότητα την Πολιτική Προστασίας Προσωπικών Δεδομένων, η οποία θα απαιτηθεί για να υποστηρίξει την αξίωση ψευδούς δήλωσης εκ μέρους του LinkedIn.

Κατά τη διάρκεια των προφορικών επιχειρημάτων, ο δικηγόρος του ενάγοντος ισχυρίστηκε ότι η αγωγή βασίζεται κατά κύριο λόγο σε φερόμενη παράβαση της σύμβασης, μια τέτοια αξίωση, οι εναγόμενοι έπρεπε να προσδιορίσουν τις ζημίες που προκλήθηκαν από την προβαλλόμενη παράβαση της σύμβασης. Η ζημία που υπέστησαν οι ενάγοντες προηγήθηκε της φερόμενης παραβίασης της σύμβασης, κατά τον χρόνο που τα συμβαλλόμενα μέρη ανέλαβαν για πρώτη φορά τη σύμβαση, δήλωσε ο δικαστής. Ως εκ τούτου, οι οικονομικές απώλειες που ισχυρίζονται ότι δεν μπορούν να είναι οι "προκύπτουσες ζημίες" από φερόμενη παράβαση της σύμβασης, ανέφερε.

Σε περιπτώσεις όπου το εικαζόμενο λάθος προέρχεται από ισχυρισμούς περί ανεπαρκούς εκτέλεσης των λειτουργιών ενός προϊόντος, τα δικαστήρια έχουν αποφανθεί ότι οι ενάγοντες πρέπει ισχυρίζονται ότι "κάτι περισσότερο" απ 'ότι απλώς υπερπληρώνει για ένα ελαττωματικό προϊόν, δήλωσε ο δικαστής. "Επειδή οι ενάγοντες θέτουν υπό αμφισβήτηση τον τρόπο με τον οποίο η LinkedIn εκτελεί τις υπηρεσίες ασφαλείας, πρέπει να ισχυρίζονται ότι είναι κάτι περισσότερο από καθαρή οικονομική ζημία. Αυτό το" κάτι περισσότερο "θα μπορούσε να είναι βλάβη που προκλήθηκε από τις ελλιπείς υπηρεσίες ασφαλείας και την παραβίαση της ασφάλειας, όπως για παράδειγμα η κλοπή των προσωπικά αναγνωρίσιμων πληροφοριών τους "