LinkedIn nanalo ng pagpapaalis ng kaso na naghanap ng mga pinsala para sa napakalaking paglabag ng password

Professional social networking service LinkedIn won ang pagpapaalis ng isang kaso sa paghahanap ng mga pinsala sa ngalan ng mga premium user na nagkaroon ng kanilang ang mga password sa pag-log-in na nakalantad na resulta ng isang paglabag sa seguridad ng mga server ng kumpanya noong nakaraang taon.

Ang paglabag sa data ay dumating sa liwanag sa simula ng Hunyo 2012, pagkatapos na naka-post ang mga hacker ng 6.5 milyong password na naaayon sa LinkedIn account sa isang underground na forum. Ang higit sa 60 porsiyento ng mga password na ito ay na-crack sa kalaunan ay na-crack ng mga hacker.

Ang unang reklamo laban sa LinkedIn ay na-file noong Hunyo 15, 2012, sa US District Court para sa Northern District ng California ng residente ng Illinois at nagbayad ng LinkedIn account ang may-ari na nagngangalang Katie Szpyrka.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang reklamo ay pinaghihinalaang ang LinkedIn ay lumabag sa sarili nitong Kasunduan ng User at Patakaran sa Pagkapribado sa pamamagitan ng hindi paggamit ng mga pamantayang protocol ng teknolohiya at teknolohiya upang maprotektahan ang mga customer nito 'personal na nakikilalang impormasyon, kabilang ang mga email address, mga password at mga kredensyal ng pag-log in.

Ang isang sinususugan na reklamo ay isinampa noong Nobyembre 26, 2012 sa ngalan ng Szpyrka at isa pang premium na gumagamit ng LinkedIn mula sa Virginia na nagngangalang Khalilah Gilmore-Wright, bilang mga kinatawan ng klase para sa lahat ng mga gumagamit ng LinkedIn na apektado ng paglabag. Ang kaso ay humingi ng "injunctive at iba pang mga pantay na kaginhawahan," pati na rin ang pagbabayad-pinsala at pinsala para sa mga nagrereklamo at mga miyembro ng klase.

Mga Detalye ng reklamo

Ang reklamo ay pinaghihinalaang ang LinkedIn ay nabigong sapat na protektahan ang data ng gumagamit dahil naka-imbak ito mga password na gumagamit ng isang mahina na function na cryptographic na hash na walang karagdagang proteksyon, sa kabila ng sarili nitong Patakaran sa Privacy na nagpapahiwatig na "ang personal na impormasyong iyong ibibigay ay maitatatag alinsunod sa mga protocol at teknolohiya ng standard ng industriya."

"Ang problema sa praktis na ito ay dalawang beses, "sinabi ng reklamo. "Una, ang SHA-1 ay isang hindi napapanahong function na hashing, na unang inilathala ng National Security Agency noong 1995. Pangalawa, ang pag-iimbak ng mga password ng user sa hashed na format nang walang unang 'salting' ang password ay nagpapatakbo ng mga konvensional na pamamaraan ng proteksyon ng data, at nagdudulot ng mga makabuluhang panganib sa integridad ng sensitibong data ng mga gumagamit. "

Password hashing ay isang paraan ng isang-way na pag-encrypt. Ang isang password hash ay isang natatanging cryptographic na representasyon ng isang plaintext password, ngunit hindi katulad ng ciphertext na nabuo gamit ang isang dalawang-way na pag-encrypt na function, hashes ay hindi sinadya upang ma-decrypted. Kapag ang mga gumagamit ay nag-log in at nag-input ng kanilang password, ang password ay hashed sa fly, at ang resultadong hash ay naitugma laban sa isa na naka-imbak sa database para sa gumagamit na iyon.

Mga mas lumang function ng hash tulad ng SHA-1 ay mabilis at mahusay, ngunit maaaring mahina sa pag-atake ng malupit na puwersa. Dahil dito, karaniwan nang praktikal na idagdag ang isang natatanging at random na string sa bawat password bago ishing ito.

Ang reklamo ay pinanatili na kung alam ni Szpyrka at Gilmore-Wright na ang LinkedIn ay gumagamit ng substandard na pag-encrypt na hindi nila binayaran para sa mga premium LinkedIn na account na nagkakahalaga sa pagitan ng $ 19.95 at $ 99.95 bawat buwan depende sa uri ng subscription.

"Kapag nag-sign up para sa at pagbili ng isang 'premium' na account, ang mga nagrereklamo at ang mga miyembro ng Class ay umaasa sa representasyon ng LinkedIn na ginagamit nito ang 'mga protocol at teknolohiyang standard ng industriya' upang mapreserba ang integridad at seguridad ng kanilang personal na impormasyon sa pagsang-ayon na lumikha ng isang account at magbigay ng kanilang PII sa kumpanya, "sinabi ng reklamo

Nagtalo din ang reklamo na ang mga buwanang bayad na binayaran ng mga nagsasakdal, o isang bahagi nito, ay ginamit ng LinkedIn upang bayaran ang mga gastos sa pangangasiwa ng pamamahala ng data at seguridad at sa gayon ay sumunod sa pangako nito sa paggamit ng mga pamantayan sa industriya na mga protocol at teknolohiya ng seguridad.

Ang mga pagkilos ng Korte

Sa Martes, ipinagkaloob ng korte ang kilos ng LinkedIn upang bale-walain ang reklamo batay na ang Kasunduan ng User at Patakaran sa Pagkapribado ng kumpanya ay pareho para sa mga libreng account dahil ito ay para sa mga premium na account.

sa pagbabayad ng mga premium na may hawak ng account tungkol sa mga protocol ng seguridad ay ginawa din sa mga di-nagbabayad na miyembro, "sinabi ng hukom sa kanyang utos na bale-walain ang kaso. "Samakatuwid, kapag ang isang miyembro ay binili ang isang premium na pag-upgrade ng account, ang pangangalakal ay hindi para sa isang partikular na antas ng seguridad, ngunit para sa mga advanced na tool sa networking at kakayahan upang mapabilis ang paggamit ng mga serbisyo ng LinkedIn. Ang FAC [First Amended Consolidated Complaint] sapat na nagpapakita na kabilang sa mga nagrereklamo para sa premium membership ay ang pangako ng isang partikular na (o mas mataas na) antas ng seguridad na hindi bahagi ng libreng pagiging miyembro. "

Bukod dito, sinabi ng hukom, ang mga nagsasakdal ay hindi kahit na na talagang nabasa nila ang Patakaran sa Pagkapribado, na kung saan ay kinakailangan upang suportahan ang isang paghahabol ng kasinungalingan sa ngalan ng LinkedIn.

Sa oral arguments, ang payo ng mga nagsasakdal ay iginiit na ang kaso ay batay sa isang diumano'y paglabag sa kontrata, ngunit para sa tulad ng isang paghahabol na tumayo, ang mga nasasakdal ay kinakailangan upang tukuyin ang mga pinsala na nagreresulta mula sa di-umano'y paglabag sa kontrata. Ang pinsala na inaangkin ng mga nagsasakdal ay nangyari bago ang di-umano'y paglabag sa kontrata, sa oras na unang pumasok ang mga partido sa kontrata, sinabi ng hukom. Sa gayon, ang pang-ekonomiyang pagkawala na kanilang inaangkin ay hindi maaaring ang "nagreresultang mga pinsala" mula sa isang di-umano'y paglabag sa kontrata, sinabi niya.

Sa mga kaso kung saan ang di-umano'y maling nababatay sa mga paratang ng hindi sapat na pagganap ng mga function ng produkto, korte ay nagpasiya na ang mga nagrereklamo ay kailangang magsabi ng "isang bagay na higit pa" kaysa sa overpaying lamang para sa isang sira produkto, sinabi ng hukom. "Dahil ang mga nagsasakdal ay kumuha ng isyu sa kung paano nagawa ng LinkedIn ang mga serbisyo sa seguridad, dapat nilang sasabihin ang isang bagay na higit pa kaysa sa purong pang-ekonomiyang pinsala. Ang 'isang bagay na higit pa' ay maaaring isang pinsala na nangyari bilang isang resulta ng kulang na mga serbisyo sa seguridad at paglabag sa seguridad, tulad ng, halimbawa, pagnanakaw ng kanilang personal na makikilalang impormasyon. "