LinkedIn выигрывает увольнение с иска, требующего возмещения убытков за массовое нарушение пароля

Профессиональная служба социальных сетей LinkedIn выиграла увольнение иска, требующего возмещения убытков от имени премиальных пользователей, у которых были свои входные пароли, выявленные в результате нарушения безопасности серверов компании в прошлом году.

Произошло нарушение данных в начале июня 2012 года, после того как хакеры опубликовали 6,5 миллиона хэшей паролей, соответствующих учетным записям LinkedIn на подпольном форуме, Более 60 процентов этих хэшей паролей были взломаны хакерами.

Первая жалоба против LinkedIn была подана 15 июня 2012 года в окружном суде США по Северному округу штата Калифорния резидентом штата Иллинойс и оплатила учетную запись LinkedIn владелец под названием Katie Szpyrka.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Жалоба утверждала, что LinkedIn нарушил собственное Соглашение пользователя и Политику конфиденциальности, не используя стандартные протоколы и технологии для защиты своих клиентов «Лично идентифицируемая информация, включая адреса электронной почты, пароли и учетные данные для входа в систему.

Измененная жалоба была подана 26 ноября 2012 года от имени Szpyrka и еще одного премиального пользователя LinkedIn из Вирджинии по имени Халила Гилмор-Райт, как представители класса для всех пользователей LinkedIn, пострадавших от нарушения. Иск искал «судебное и другое справедливое освобождение», а также реституцию и ущерб для истцов и членов класса.

Подробности жалобы

Жалоба утверждала, что LinkedIn не смогла адекватно защитить пользовательские данные, поскольку она хранилась пароли, используя слабую криптографическую хеш-функцию без дополнительной защиты, несмотря на свою собственную Политику конфиденциальности, в которой говорится, что «предоставленная вами личная информация будет защищена в соответствии с отраслевыми стандартными протоколами и технологиями».

«Проблема с этой практикой в ​​два раза, »заявила жалоба. «Во-первых, SHA-1 - это устаревшая хеширующая функция, впервые опубликованная Агентством национальной безопасности в 1995 году. Во-вторых, хранение паролей пользователей в хэшированном формате без предварительного« засорения »пароля запускается обычными методами защиты данных и создает значительные риски к целостности конфиденциальных данных пользователей.

Хеширование паролей - это форма одностороннего шифрования. Хеш-пароль является уникальным криптографическим представлением пароля незашифрованного текста, но в отличие от шифрованного текста, сгенерированного с помощью функции двусторонней шифрования, хеши не предназначены для дешифрования. Когда пользователи регистрируются и вводят свой пароль, пароль хешируется «на лету», и полученный хеш сопоставляется с тем, который уже был сохранен в базе данных для этого пользователя.

Старые хеш-функции, такие как SHA-1, бывают быстрыми и эффективными, но также уязвимы для нападений грубой силы. Из-за этого обычной практикой является добавление уникальной и случайной строки к каждому паролю перед его хэшированием. Это называется «засолением» и делает более сложным взлом хеша пароля.

В жалобе утверждалось, что, если Szpyrka и Gilmore-Wright знали, что LinkedIn использовал нестандартное шифрование, они не заплатили бы за премиальные аккаунты LinkedIn, которые стоили бы от $ 19,95 и $ 99,95 в месяц в зависимости от типа подписки.

«При регистрации и покупке« премиальной »учетной записи Истцы и члены класса полагались на представление LinkedIn, что оно использует« стандартные протоколы и технологии »для сохранения целостности и безопасность их личной информации при согласии на создание учетной записи и предоставление их PII компании », - говорится в заявлении

. Жалоба также утверждала, что ежемесячные сборы, выплачиваемые истцами или их частью, были использованы LinkedIn оплачивать административные расходы на управление данными и безопасность и, следовательно, выполнять свои обещания использовать стандартные протоколы и технологии безопасности.

Судебные акты

Во вторник суд удовлетворил ходатайство LinkedIn об отклонении жалобы на основании того, что Пользовательское соглашение и политика конфиденциальности компании одинаковы для бесплатных счетов, как для премиальных счетов.

«Любое предполагаемое обещание LinkedIn сделано выплачивать владельцам премиальных счетов в отношении протоколов безопасности было также сделано неплатежеспособным членам », - сказал судья в своем приказе об отказе в судебном процессе. «Таким образом, когда участник приобретает обновление премиум-аккаунта, сделка не относится к определенному уровню безопасности, но на самом деле для расширенных сетевых инструментов и возможностей для упрощения использования услуг LinkedIn. FAC [первая измененная консолидированная рекламация] не достаточно продемонстрировать, что участие в сделке истцов за премиальное членство было обещанием определенного (или большего) уровня безопасности, который не был частью свободного членства ».

Кроме того, судья сказал, что истцы даже не заявляют что они действительно прочитали Политику конфиденциальности, которая потребовалась бы для поддержки иска о искажении от имени LinkedIn.

В устных аргументах адвокат истца утверждал, что иск в основном основан на предполагаемом нарушении контракта, но для такое требование предъявить, подсудимым необходимо указать убытки, возникшие в результате этого предполагаемого нарушения контракта. Ущерб, о котором заявили истцы, произошел до предполагаемого нарушения контракта, в то время, когда стороны впервые вступили в договор, сказал судья. Таким образом, экономический ущерб, который они требуют, не может быть «результатом ущерба» от предполагаемого нарушения контракта, сказал он.

В тех случаях, когда предполагаемое неправильное вытекает из утверждений о недостаточном выполнении функций продукта, суды постановили, что истцам необходимо судья сказал: «Что-то еще», а не просто переплата за дефектный продукт. «Поскольку истцы не понимают, каким образом LinkedIn выполняет службы безопасности, они должны утверждать« нечто большее », чем чистый экономический ущерб. Это« нечто большее »может быть вредом, вызванным недостаточными службами безопасности и нарушением безопасности, например, кражи их личной информации. "