LinkedIn vinder afskedigelse af retssag, der søger erstatning for massiv adgangskodebrud

Professionel social networking service LinkedIn vandt afskedigelsen af ​​en retssag, der søgte erstatning på vegne af premium brugere, der havde deres log-in adgangskoder udsat som følge af en sikkerhedsbrud på virksomhedens servere sidste år.

Databrænkningen opstod i begyndelsen af ​​juni 2012, efter at hackere skrev 6,5 millioner adgangskode hash svarende til LinkedIn-konti på et underjordisk forum. Mere end 60 procent af disse adgangskode hash blev senere revnet af hackere.

Den første klage over LinkedIn blev indleveret den 15. juni 2012 i den amerikanske distriktsdomstol for Northern District of California af en indbygger i Illinois og betalt LinkedIn-konto ejeren hedder Katie Szpyrka.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Klagen påstod, at LinkedIn overtrådte sin egen brugeraftale og privatlivspolitik ved ikke at anvende industristandardprotokoller og teknologi til beskyttelse af sine kunder 'Personligt identificerbare oplysninger, herunder e-mail-adresser, adgangskoder og log-in credentials.

En ændret klage blev indleveret den 26. november 2012 på vegne af Szpyrka og en anden Premium LinkedIn-bruger fra Virginia ved navn Khalilah Gilmore-Wright, som klasseværtsrepræsentanter for alle LinkedIn brugere, der var påvirket af bruddet. Retssagen søgte "påbud og anden retfærdig lettelse" samt erstatning og erstatning for sagsøgere og medlemmer af klassen.

Detaljer om klagen

Klagen påstod, at LinkedIn ikke havde tilstrækkeligt at beskytte brugerdata, fordi den lagrede adgangskoder ved hjælp af en svag kryptografisk hash-funktion uden yderligere beskyttelse, på trods af sin egen privatlivspolitik, hvori det hedder, at "personlige oplysninger, du giver, vil blive sikret i overensstemmelse med industristandardprotokoller og -teknologi."

"Problemet med denne praksis er to gange, "sagde klagen. "For det første er SHA-1 en forældet hashing-funktion, der første gang blev offentliggjort af det nationale sikkerhedsagentur i 1995. For det andet oplagrer brugerens adgangskoder i hashed-format uden først at" saltning "adgangskoden løber af konventionelle databeskyttelsesmetoder og udgør betydelige risici til integriteten af ​​brugernes følsomme data. "

Adgangskode hashing er en form for envejs kryptering. En password-hash er en unik kryptografisk repræsentation af en plaintext-adgangskode, men i modsætning til ciphertext genereret med en tovejs krypteringsfunktion, er hash ikke meningen at blive dekrypteret. Når brugerne logger ind og indtaster deres adgangskode, er kodeordet klemt i flyve, og den resulterende hash er matchet med den, der allerede er gemt i databasen for den bruger.

Ældre hashfunktioner som SHA-1 er hurtige og effektive, men er også sårbare for brute force angreb. På grund af dette er det almindeligt at tilføje en unik og tilfældig streng til hver adgangskode, før den har hash det. Dette kaldes 'saltning' og gør det meget vanskeligere at kodeordbrudssprængning.

Klagen hævdede, at hvis Szpyrka og Gilmore-Wright havde vidst, at LinkedIn brugte substandard kryptering, ville de ikke have betalt for premium LinkedIn-konti, som kostede mellem 19,95 dollar og $ 99,95 pr. måned afhængigt af abonnementstype.

"Ved tilmelding til og køb af en" premium "-konto, anlagde sagsøgere og medlemmerne af klassen på Linkedins repræsentation, at den anvender" industristandardprotokoller og -teknologi "for at bevare integriteten og sikkerhed for deres personlige oplysninger i at blive enige om at oprette en konto og give deres PII til virksomheden, "klagen sagde

Klagen hævdede også, at de månedlige gebyrer, som sagsøgerne betalte, eller en del af dem, blev brugt af LinkedIn at betale de administrative omkostninger ved databehandling og -sikkerhed og følgelig overholde sit løfte om at anvende industristandardprotokoller og -teknologi.

Retsaktioner

På tirsdag gav retten tilladelse til at afvise klagen på grundlag af, at selskabets brugeraftale og privatlivspolitik er det samme for gratis konti som for premium-konti.

"Ethvert påstået løfte LinkedIn gjort at betale præmie konto indehavere vedrørende sikkerhedsprotokoller blev også lavet til ikke-betalende medlemmer, "dommeren sagde i hans rækkefølge at afvise retssagen. "Således når et medlem køber en premium-kontoopgradering, er købet ikke for et bestemt sikkerhedsniveau, men faktisk for de avancerede netværksværktøjer og -funktioner for at lette udvidet brug af Linkedins tjenester. FAC [First Amended Consolidated Complaint] tilstrækkeligt demonstrere, at det indeholdt i sagsøgernes køb for præmie medlemskab var løftet om et bestemt (eller større) sikkerhedsniveau, der ikke var en del af det frie medlemskab. "

Dommeren sagde endvidere, at sagsøgerne ikke engang hævder at de rent faktisk læser privatlivspolitikken, hvilket ville være nødvendigt for at støtte et krav om vildledelse på vegne af LinkedIn.

I mundtlige argumenter hævdede sagsøgernes advokat, at sagen primært er baseret på en påstået kontraktbrud, men for Et sådant krav om at stå, de sagsøgte skulle specificere skader som følge af denne påståede kontraktbrud. Den skade, sagsøgerne hævdede, fandt sted før den påståede kontraktbrud, da dommerne først indgik kontrakten, sagde dommeren. Derfor kan det økonomiske tab, de hævder, ikke være den "resulterende skade" fra en påstået kontraktbrud, sagde han.

I tilfælde, hvor den påståede fejl skyldtes påstande om utilstrækkelig udførelse af produktets funktioner, har domstole besluttet, at sagsøgerne skal hævde "noget mere" end blot overpaying for et defekt produkt, sagde dommeren. "Fordi sagsøgere tager spørgsmålet om, hvordan LinkedIn udførte sikkerhedstjenesterne, må de hævde" noget mere "end rent økonomisk skade. Dette" noget mere "kunne være en skade, der opstod som følge af de manglende sikkerhedstjenester og sikkerhedsbrud, som for eksempel tyveri af deres personligt identificerbare oplysninger. "