LinkedIn thắng việc kiện kiện tìm kiếm thiệt hại do vi phạm mật khẩu lớn

Dịch vụ mạng xã hội chuyên nghiệp LinkedIn đã hủy bỏ vụ kiện tìm kiếm thiệt hại thay mặt cho người dùng cao cấp

Vi phạm dữ liệu được đưa ra ánh sáng vào đầu tháng 6 năm 2012, sau khi tin tặc đăng 6,5 triệu băm mật khẩu tương ứng với tài khoản LinkedIn trên diễn đàn ngầm.

Khiếu nại đầu tiên chống lại LinkedIn được đệ trình vào ngày 15 tháng 6 năm 2012, tại Tòa án Quận Hoa Kỳ cho Quận phía Bắc California bởi một cư dân Illinois và đã trả tiền cho tài khoản LinkedIn chủ sở hữu tên Katie Szpyrka.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

Khiếu nại bị cáo buộc rằng LinkedIn đã vi phạm Thỏa thuận người dùng và Chính sách bảo mật của riêng mình bằng cách không sử dụng các giao thức và công nghệ chuẩn của ngành để bảo vệ khách hàng của mình

Một khiếu nại sửa đổi đã được nộp vào ngày 26 tháng 11 năm 2012 thay mặt cho Szpyrka và một người dùng LinkedIn cao cấp khác từ Virginia tên là Khalilah Gilmore-Wright, với tư cách là đại diện của lớp học cho tất cả người dùng LinkedIn bị ảnh hưởng bởi vi phạm.

Chi tiết khiếu nại

Khiếu nại bị cáo buộc rằng LinkedIn không bảo vệ đầy đủ dữ liệu người dùng vì nó được lưu trữ mật khẩu sử dụng hàm băm mật mã yếu mà không cần bảo vệ bổ sung, mặc dù Chính sách bảo mật của riêng nó cho biết rằng "thông tin cá nhân bạn cung cấp sẽ được bảo mật theo các giao thức và công nghệ tiêu chuẩn của ngành."

"khiếu nại nói. "Đầu tiên, SHA-1 là một hàm băm lỗi thời, được Cơ quan An ninh Quốc gia xuất bản lần đầu tiên vào năm 1995. Thứ hai, lưu trữ mật khẩu của người dùng dưới định dạng băm mà không cần 'mặn' mật khẩu chạy theo các phương pháp bảo vệ dữ liệu thông thường. tính toàn vẹn của dữ liệu nhạy cảm của người dùng. "

Mật khẩu băm là một dạng mã hóa một chiều. Băm mật khẩu là một biểu diễn mật mã duy nhất của mật khẩu văn bản thuần túy, nhưng không giống như bản mã được tạo bằng hàm mã hóa hai chiều, các băm không được giải mã. Khi người dùng đăng nhập và nhập mật khẩu của họ, mật khẩu được băm khi đang di chuyển, và kết quả băm được so khớp với giá trị được lưu trữ trong cơ sở dữ liệu cho người dùng đó.

Hàm băm cũ hơn như SHA-1 nhanh và hiệu quả, nhưng cũng dễ bị tấn công bạo lực. Bởi vì điều này, nó là thực tế phổ biến để thêm một chuỗi duy nhất và ngẫu nhiên cho mỗi mật khẩu trước khi băm nó. Điều này được gọi là 'salting' và làm cho băm mật khẩu bẻ khóa khó khăn hơn nhiều.

Đơn khiếu nại cho rằng nếu Szpyrka và Gilmore-Wright biết rằng LinkedIn sử dụng mã hóa không đạt chuẩn thì họ sẽ không trả tiền cho các tài khoản LinkedIn cao cấp có giá từ $ 19,95 và $ 99,95 mỗi tháng tùy thuộc vào loại đăng ký.

"Khi đăng ký và mua một tài khoản 'cao cấp', Nguyên đơn và các thành viên của Nhóm dựa trên biểu diễn của LinkedIn rằng nó sử dụng 'giao thức chuẩn và công nghệ' để bảo toàn tính toàn vẹn và bảo mật thông tin cá nhân của họ trong việc đồng ý tạo tài khoản và cung cấp PII cho công ty, "khiếu nại cho biết

Đơn khiếu nại cũng cho rằng các khoản phí hàng tháng do nguyên đơn hoặc một phần trong số đó đã được LinkedIn sử dụng để trả chi phí hành chính về quản lý dữ liệu và bảo mật và do đó tuân thủ lời hứa sử dụng các giao thức và công nghệ bảo mật tiêu chuẩn của ngành.

Hành động của tòa án

Vào thứ ba, tòa án đã cho phép chuyển động của LinkedIn từ bỏ khiếu nại trên cơ sở Thỏa thuận người dùng và Chính sách bảo mật của công ty giống nhau đối với các tài khoản miễn phí vì nó dành cho các tài khoản cao cấp.

để trả tiền cho chủ tài khoản cao cấp về các giao thức bảo mật cũng được thực hiện cho các thành viên không trả tiền, "thẩm phán nói trong đơn của ông để bác bỏ vụ kiện. "Vì vậy, khi một thành viên mua một nâng cấp tài khoản cao cấp, món hời không phải là một mức độ bảo mật cụ thể, nhưng thực sự cho các công cụ mạng tiên tiến và khả năng để tăng cường việc sử dụng các dịch vụ của LinkedIn." FAC [Khiếu nại hợp nhất được sửa đổi lần đầu] không chứng minh đầy đủ rằng trong thỏa thuận của Nguyên đơn cho thành viên cao cấp là lời hứa của một mức độ bảo mật cụ thể (hoặc cao hơn) không phải là một phần của tư cách thành viên miễn phí. ”

Hơn nữa, thẩm phán nói, nguyên đơn thậm chí không cáo buộc rằng họ thực sự đọc Chính sách bảo mật, sẽ được yêu cầu để hỗ trợ một tuyên bố xuyên tạc đại diện cho LinkedIn.

Trong lý lẽ bằng miệng, luật sư của nguyên đơn khẳng định rằng vụ kiện chủ yếu dựa trên vi phạm hợp đồng bị cáo buộc, nhưng tuyên bố như vậy, các bị cáo cần phải xác định thiệt hại do vi phạm hợp đồng bị cáo buộc này. Các thương tích tuyên bố của các nguyên đơn đã xảy ra trước khi vi phạm hợp đồng bị cáo buộc, tại thời điểm khi các bên đầu tiên bước vào hợp đồng, thẩm phán cho biết.

Trong trường hợp bị cáo buộc sai bắt nguồn từ cáo buộc không đủ hiệu năng chức năng của sản phẩm, tòa án đã phán quyết rằng nguyên đơn cần phải cáo buộc "một cái gì đó nhiều hơn" hơn là chỉ trả quá cao cho một sản phẩm bị lỗi, thẩm phán nói. "Bởi vì Nguyên đơn có vấn đề với cách thức mà LinkedIn thực hiện các dịch vụ bảo mật, họ phải cáo buộc 'một cái gì đó nhiều hơn' hơn là tổn hại kinh tế thuần túy." Cái gì đó nhiều hơn "có thể là một tổn hại xảy ra do dịch vụ bảo mật thiếu và vi phạm an ninh chẳng hạn như, ví dụ như trộm cắp thông tin nhận dạng cá nhân của họ. "