LinkedIn menang pemecatan tuntutan mahkamah mencari ganti rugi kerana melanggar kata laluan besar

Perkhidmatan rangkaian sosial profesional LinkedIn memenangi pemecatan tuntutan mahkamah yang mencari ganti rugi bagi pihak pengguna premium yang mempunyai kata laluan log masuk yang terdedah akibat pelanggaran keselamatan pelayan syarikat tahun lepas.

Pelanggaran data berlaku pada awal bulan Jun 2012, selepas hacker mencatatkan 6.5 juta kata laluan hash bersamaan dengan akaun LinkedIn di forum bawah tanah. Lebih daripada 60 peratus daripada kata laluan tersebut telah dicabut oleh penggodam.

Aduan pertama terhadap LinkedIn telah difailkan pada Jun 15, 2012, di Mahkamah Daerah AS untuk Daerah Utara California oleh pemastautin Illinois dan membayar akaun LinkedIn pemilik bernama Katie Szpyrka.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Aduan mendakwa bahawa LinkedIn melanggar Perjanjian Pengguna dan Dasar Privasi sendiri dengan gagal menggunakan protokol dan teknologi standard industri untuk melindungi pelanggannya 'Maklumat peribadi, termasuk alamat e-mel, kata laluan dan kelayakan log masuk.

Aduan yang dipinda telah difailkan pada 26 Nov 2012 bagi pihak Szpyrka dan pengguna LinkedIn premium yang lain dari Virginia bernama Khalilah Gilmore-Wright, sebagai wakil kelas untuk semua pengguna LinkedIn yang terjejas oleh pelanggaran tersebut. Undang-undang itu memohon "bantuan injunkif dan lain-lain bantuan yang adil," serta restitusi dan ganti rugi untuk plaintif dan ahli kelas.

Butiran aduan

Aduan mendakwa bahawa LinkedIn tidak mencukupi untuk melindungi data pengguna kerana ia disimpan kata laluan menggunakan fungsi hash kriptografi yang lemah tanpa perlindungan tambahan, walaupun Dasar Privasinya sendiri menyatakan bahawa "maklumat peribadi yang anda berikan akan dijamin mengikut protokol dan teknologi standard industri."

"Masalah dengan amalan ini dua kali ganda, "aduan tersebut. "Pertama, SHA-1 adalah fungsi hash yang sudah lama dikeluarkan, yang pertama kali diterbitkan oleh Badan Keselamatan Nasional pada tahun 1995. Kedua, menyimpan kata laluan pengguna dalam format yang telah hilang tanpa terlebih dahulu 'mengalirkan' kata laluan mengalir melalui kaedah perlindungan data konvensional, dan menimbulkan risiko yang signifikan ke integriti data sensitif pengguna. "

Kata laluan hashing adalah satu bentuk penyulitan satu arah. Hash kata laluan adalah perwakilan kriptografi unik dari kata kunci plaintext, tetapi tidak seperti ciphertext dihasilkan dengan fungsi penyulitan dua hala, hash tidak dimaksudkan untuk diekripsi. Apabila pengguna log masuk dan memasukkan kata laluan mereka, kata laluan akan dihidupkan dengan cepat, dan hash yang dihasilkan akan dipadankan dengan yang telah disimpan dalam pangkalan data untuk pengguna tersebut.

Fungsi hash yang lebih lama seperti SHA-1 adalah pantas dan cekap, tetapi juga terdedah kepada serangan kekerasan. Kerana ini, amalan biasa untuk menambahkan rentetan unik dan rawak kepada setiap kata laluan sebelum hashing.

Aduan itu mengekalkan bahawa jika Szpyrka dan Gilmore-Wright mengetahui bahawa LinkedIn menggunakan penyulitan substandard mereka tidak akan membayar untuk akaun LinkedIn premium yang berkisar antara $ 19,95

"Apabila mendaftar dan membeli akaun 'premium', Plaintif dan ahli-ahli Class bergantung pada perwakilan LinkedIn bahawa ia menggunakan 'protokol dan teknologi standard' untuk mengekalkan integriti dan keselamatan maklumat peribadi mereka dalam bersetuju membuat akaun dan memberikan PII kepada syarikat, "aduan itu berkata

Aduan itu juga berpendapat bahawa yuran bulanan yang dibayar oleh plaintif, atau sebahagian daripada mereka, digunakan oleh LinkedIn untuk membayar kos pentadbiran pengurusan data dan keselamatan dan oleh itu mematuhi janji menggunakan protokol keselamatan dan teknologi keselamatan industri.

Tindakan Mahkamah

Pada hari Selasa, mahkamah telah memberikan usul LinkedIn untuk memecat aduan tersebut atas dasar bahawa Perjanjian Pengguna dan Dasar Privasi syarikat adalah sama untuk akaun bebas kerana ia adalah untuk akaun premium.

untuk membayar pemegang akaun premium mengenai protokol keselamatan juga dibuat kepada ahli yang tidak membayar, "kata hakim dalam perintahnya untuk menolak tuntutan itu. "Oleh itu, apabila ahli membeli peningkatan akaun premium, tawar-menawar itu bukan untuk tahap keselamatan tertentu, tetapi sebenarnya untuk alat rangkaian dan keupayaan yang lebih maju untuk memudahcarakan penggunaan perkhidmatan LinkedIn. FAC [Pertama Dipadam Aduan Disatukan] tidak cukup menunjukkan bahawa termasuk dalam tawaran Plaintif untuk keahlian premium adalah janji tahap tertentu (atau lebih tinggi) keselamatan yang bukan sebahagian daripada keanggotaan bebas. "

Tambahan pula, hakim berkata, plaintif tidak mendakwa bahawa mereka sebenarnya membaca Dasar Privasi, yang akan diperlukan untuk menyokong tuntutan salah bagi pihak LinkedIn.

Dalam hujah-hujah lisan, peguam plaintif menegaskan bahawa tuntutan itu adalah berdasarkan pelanggaran kontrak yang dikatakan, tetapi untuk seperti tuntutan untuk berdiri, defendan diperlukan untuk menentukan kerosakan akibat dari pelanggaran kontrak yang dikatakan. Kecederaan yang dituntut oleh plaintif berlaku sebelum pelanggaran kontrak yang dikatakan, ketika pihak-pihak pertama memasuki kontrak, hakim berkata. Oleh itu kerugian ekonomi yang mereka tuntut tidak boleh menjadi "kerosakan yang terhasil" daripada pelanggaran kontrak yang dikatakan, katanya.

Dalam kes-kes di mana salah laku yang dikatakan berpunca dari tuduhan tidak mencukupi prestasi fungsi produk, mahkamah telah memutuskan bahawa plaintif perlu mendakwa "sesuatu yang lebih" daripada hanya membayar lebih untuk produk yang cacat, hakim berkata. "Oleh kerana Plaintifs mengambil isu dengan cara LinkedIn melakukan perkhidmatan keselamatan, mereka mesti mendakwa 'sesuatu yang lebih' daripada kemudaratan ekonomi murni. Ini 'sesuatu yang lebih' boleh menjadi bahaya yang berlaku akibat daripada perkhidmatan keselamatan yang kurang dan pelanggaran keselamatan, seperti, contohnya, pencurian maklumat peribadi mereka. "