LinkedIn vinner avskedigelse av søksmål som søker erstatning for massiv passordbrudd

Profesjonell sosial nettverkstjeneste LinkedIn vant avskedigelsen av et søksmål som søker erstatning på vegne av premium brukere som hadde deres Innloggingspassordene ble utsatt som følge av en sikkerhetsbrudd på selskapets servere i fjor.

Datatbruddene kom fram i begynnelsen av juni 2012, etter at hackere hadde skrevet inn 6,5 millioner passord-hash som tilsvarer LinkedIn-kontoer på et underjordisk forum. Mer enn 60 prosent av disse passordhackene ble senere sprukket av hackere.

Den første klagen mot LinkedIn ble arkivert 15. juni 2012 i US District Court for Northern District of California av en bosatt i Illinois og betalte LinkedIn-konto eieren av navnet Katie Szpyrka.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Klagen påstod at LinkedIn overtrådte sin egen brukeravtale og personvernspolicy ved å ikke bruke industristandardprotokoller og -teknologi for å beskytte sine kunder Personlig identifiserbar informasjon, inkludert e-postadresser, passord og påloggingsinformasjon.

En endret klage ble innlevert 26. november 2012 på vegne av Szpyrka og en annen premium LinkedIn-bruker fra Virginia kalt Khalilah Gilmore-Wright, som klasrepresentanter for alle LinkedIn-brukere som ble påvirket av bruddet. Søksmålet søkte "injunctive and other equitable relief", samt restitusjon og erstatning for saksøkerne og medlemmene av klassen.

Detaljer om klagen

Klagen påstod at LinkedIn ikke klarte å beskytte brukerdata tilstrekkelig fordi den lagret passord ved hjelp av en svak kryptografisk hash-funksjon uten ytterligere beskyttelse, til tross for sin egen personvernpolicy som sier at "personlig informasjon du oppgir vil være sikret i samsvar med industristandardprotokoller og teknologi."

"Problemet med denne praksisen er to ganger, "sa klagen. "For det første er SHA-1 en utdatert hashing-funksjon, først publisert av National Security Agency i 1995. For det andre lagrer brukerens passord i hashed-format uten først" salting "passordet kjøres av konvensjonelle databeskyttelsesmetoder og utgjør betydelige risikoer til integriteten til brukernes sensitive data. "

Passordshashing er en form for enveiskryptering. Et passord hash er en unik kryptografisk representasjon av et plaintext-passord, men i motsetning til kryptert tekst generert med en toveis krypteringsfunksjon, er hash ikke ment å dekrypteres. Når brukerne logger på og legger inn passordet, er passordet forsynt i fly, og den resulterende hasen er tilpasset den som allerede er lagret i databasen for den brukeren.

Eldre hashfunksjoner som SHA-1 er raske og effektive, men er også utsatt for brutale kraftangrep. På grunn av dette er det vanlig å legge til en unik og tilfeldig streng til hvert passord før det har blitt hakket. Dette kalles "salting" og gjør det vanskeligere å passordet hackere.

Klagen hevdet at hvis Szpyrka og Gilmore-Wright hadde kjent at LinkedIn brukte substandard kryptering, ville de ikke ha betalt for premium LinkedIn-kontoer som koster mellom $ 19,95 og $ 99,95 per måned, avhengig av abonnementstype.

"Når du registrerer deg for og kjøper en" premium "-konto, anklages saksøkerne og medlemmene av klassen på Linkedins representasjon at det bruker" industristandardprotokoller og -teknologi "for å bevare integriteten og sikkerhet for deres personlige opplysninger i å godta å opprette en konto og gi deres PII til selskapet, sier klagen

Klagen anklagede også at de månedlige avgifter som saksøkerne betalte, eller en del av dem, ble brukt av LinkedIn å betale de administrative kostnadene for datahåndtering og -sikkerhet og følgelig overholde løftet om å bruke industristandard sikkerhetsprotokoller og -teknologi.

Rettstiltak

På tirsdag gav retten tilslutning fra LinkedIn til å avvise klagen på grunnlag av at selskapets brukeravtale og personvernpolitikk er det samme for gratis kontoer som det er for premium-kontoer.

"Ethvert påstått løfte LinkedIn gjort til betalende premium kontoinnehavere angående sikkerhetsprotokoller ble også gjort til ikke-betalende medlemmer, "sa dommeren i sin rekkefølge å avvise saken. "Når et medlem kjøper en premium-kontooppgradering, er kjøpet ikke for et bestemt sikkerhetsnivå, men faktisk for de avanserte nettverksverktøyene og -funksjonene for å lette økt bruk av LinkedIns tjenester. FAC [First Amended Consolidated Complaint] tilstrekkelig demonstrere at det som er inkludert i eisers bargain for premium membership var løftet om et bestemt sikkerhetsnivå som ikke var en del av det gratis medlemskapet. "

Videre sa dommeren at saksøkerne ikke engang hevder at de faktisk leser personvernspolitikken, som ville være nødvendig for å støtte et krav om uriktig fremstilling på vegne av LinkedIn.

I mundtlige argumenter hevdet saksøkerens råd at søksmålet hovedsakelig er basert på en påstått kontraktbrudd, men for Et slikt krav om å stå, de tiltalte måtte spesifisere skader som følge av denne påståtte brudd på kontrakt. Skaden hevdet av saksøkerne skjedde før den påståtte brudd på kontrakten, da partene først inngikk kontrakten, sa dommeren. Derfor er det økonomiske tapet de hevder ikke kan være den "resulterende skaden" fra en påstått kontraktbrudd, sa han.

I tilfeller der den påståtte feilen stammer fra påstander om utilstrekkelig ytelse av produktets funksjoner, har domstolene fastslått at saksøkerne må hevde "noe mer" enn bare overpaying for et defekt produkt, sa dommeren. "Fordi saksøkerne har problemer med hvordan LinkedIn utførte sikkerhetsvæsenet, må de hevde" noe mer "enn rent økonomisk skade. Dette" noe mer "kan være en skade som oppstod som følge av manglende sikkerhetstjenester og sikkerhetsbrudd, for eksempel tyveri av deres personlig identifiserbare opplysninger. "