LinkedIn vyhrál odvolání žaloby o náhradu škody za masivní porušování hesla

Profesionální služba sociálních sítí LinkedIn získala odvolání žaloby o náhradu škody za prémiové uživatele, kteří měli své přihlašovací hesla, která byla v minulém roce vystavena v důsledku narušení bezpečnosti firemních serverů.

Rozbití dat vyšlo najevo na začátku června 2012 poté, co hackeři zveřejnili 6,5 milionu hesel odpovídajících účtům LinkedIn na podzemním fóru. Více než 60 procent těchto hesel bylo později spuštěno hackery.

První stížnost proti LinkedIn byla podána 15. června 2012 v americkém Okresním soudu pro severní okres Kalifornie rezidentem v Illinois a zaplatil účet LinkedIn

Stížnost tvrdila, že společnost LinkedIn porušila vlastní Smlouvu o užívání a zásady ochrany osobních údajů tím, že nepoužila průmyslové standardy a technologie, které chrání své zákazníky "osobní údaje, včetně e-mailových adres, hesel a přihlašovacích údajů.

Změněná stížnost byla podána dne 26. listopadu 2012 jménem Szpyrka a dalšího prémiového uživatele LinkedIn z Virginie s názvem Khalilah Gilmore-Wright, pro všechny uživatele LinkedIn, kteří byli postiženi porušením. Soudní žaloba požadovala "soudní a jiné spravedlivé úlevy", jakož i restituci a náhradu škody pro žalobce a příslušníky této třídy.

Podrobnosti o stížnosti

Stížnost tvrdila, že LinkedIn nepodařilo dostatečně chránit uživatelská data, protože byla uložena hesla používající slabou kryptografickou hashovou funkci bez dodatečné ochrany, a to navzdory vlastní ochraně osobních údajů, která uvádí, že "osobní údaje, které poskytnete, budou zajištěny v souladu s průmyslovými standardními protokoly a technologií."

"Problém s touto praxí je dvojí, "uvedla stížnost. "Za prvé, SHA-1 je zastaralá funkce hašování, kterou nejprve zveřejnila agentura National Security Agency v roce 1995. Zadruhé, ukládání hesel uživatelů do šachetového formátu bez nejprve" solení "hesla probíhá bez konvenčních metod ochrany dat a představuje významná rizika na integritu citlivých dat uživatelů. "

Heslovým šablonám je forma jednosměrného šifrování. Heslový hash je jedinečné kryptografické znázornění hesla otevřeného textu, ale na rozdíl od šifrového textu generovaného obousměrnou šifrovací funkcí, hash není určen k dešifrování. Když uživatelé přihlašují a zadávají své heslo, heslo je házení za běhu a výsledný hash je porovnán s tím, který je pro daného uživatele již uložen v databázi

Starší hashové funkce jako SHA-1 jsou rychlé a efektivní, ale jsou také zranitelné vůči útokům na hrubou sílu. Z tohoto důvodu je běžnou praxí připojit k jednotlivým heslům jedinečný a náhodný řetězec před tím, než je spustí. Toto je známé jako "solení" a způsobuje, že spouštění hesel je mnohem obtížnější.

Stížnost tvrdila, že pokud Szpyrka a Gilmore-Wright věděli, že LinkedIn používalo nestandardní šifrování, nezaplatili za prémiové účty LinkedIn, které stály mezi 19,95 USD a 99,95 dolarů za měsíc v závislosti na typu předplatného.

"Při přihlašování a zakoupení účtu" prémií "se Žalobci a členové Třídy spoléhali na to, že společnost LinkedIn používala" průmyslové standardní protokoly a technologie "pro zachování integrity a zabezpečení svých osobních informací v souhlasu s vytvořením účtu a poskytováním jeho PII společnosti ", uvedla stížnost

Stížnost také tvrdila, že měsíční poplatky hrazené žadateli nebo jejich částmi byly použity společností LinkedIn platit administrativní náklady na správu dat a zabezpečení, a proto dodržovat svůj slib využívat standardní bezpečnostní protokoly a technologie

Soudní žaloby

V úterý soud učinil návrh společnosti LinkedIn na zamítnutí stížnosti na základě skutečnosti, že Smlouva o užívání a zásady ochrany soukromí společnosti jsou pro bezplatné účty stejná jako pro prémiové účty.

"Jakýkoli údajný slib LinkedIn k platbě prémiových držitelů účtů, pokud jde o bezpečnostní protokoly, byl také učiněn neplatným členům, "uvedl soudce ve svém příkazu k propuštění žaloby. "Když tedy člen zakoupí upgrade prémiového účtu, smlouva není pro určitou úroveň zabezpečení, ale ve skutečnosti pro pokročilé síťové nástroje a schopnosti, které usnadňují lepší využívání služeb služby LinkedIn. FAC [First Amended Consolidated Complaint] dostatečně prokázat, že zahrnuto v zákonech žalobců o prémiové členství bylo příslib určité (nebo vyšší) úrovně bezpečnosti, která nebyla součástí volného členství. "

Navíc soudce tvrdí, že žalobci ani netvrdí že skutečně přečte zásady ochrany osobních údajů, které by byly nutné k podpoře nároku na klamavé prohlášení v souvislosti s LinkedIn.

V rámci ústních argumentů advokáti žalobců tvrdili, že žaloba je založena především na údajném porušení smlouvy, takový nárok na postavení, žalovaní museli upřesnit náhradu škody vyplývající z tohoto údajného porušení smlouvy. Zranění, které žadatelé uplatnily, se stalo před údajným porušením smlouvy v okamžiku, kdy strany poprvé uzavřely smlouvu, uvedl soudce. Hospodářská ztráta, kterou tvrdí, nemůže být "výslednou škodou" z údajného porušení smlouvy, uvedl.

V případech, kdy údajná chyba vyplývala z obvinění z nedostatečného výkonu funkcí výrobku, soudy rozhodly, že žadatelé musí tvrdí soudce, "něco víc" než jen přeplatku za vadný výrobek. "Vzhledem k tomu, že navrhovatelé se dotýkají způsobu, jakým společnost LinkedIn vykonávala bezpečnostní služby, musí tvrdit" něco víc "než čistou hospodářskou škodu. Toto" něco víc "by mohlo být škodou, ke které došlo v důsledku nedostatečných bezpečnostních služeb a narušení bezpečnosti, jako je například krádež jejich osobně identifikovatelných informací. "