Car-tech

LinkedIn vince il licenziamento della causa che cerca danni per violazione di password massiccia

Responsabilità medica se l’operazione è inutile ho diritto al risarcimento del danno? Avvocato

Responsabilità medica se l’operazione è inutile ho diritto al risarcimento del danno? Avvocato

Sommario:

Anonim

Servizio di social network professionale LinkedIn ha vinto il licenziamento di una causa per danni a nome di utenti premium che le password di accesso esposte a seguito di una violazione della sicurezza dei server dell'azienda lo scorso anno.

La violazione dei dati è venuta alla luce all'inizio di giugno 2012, dopo che gli hacker hanno registrato 6,5 milioni di hash delle password corrispondenti agli account di LinkedIn in un forum sotterraneo. Più del 60% di quegli hash delle password sono stati successivamente incrinati dagli hacker.

Il primo reclamo contro LinkedIn è stato depositato il 15 giugno 2012 nella Corte distrettuale degli Stati Uniti per il Northern District della California da un residente dell'Illinois e account LinkedIn pagato proprietario Katie Szpyrka.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Il reclamo afferma che LinkedIn ha violato il proprio Accordo con gli utenti e la Politica sulla privacy non utilizzando i protocolli e la tecnologia standard del settore per proteggere i propri clienti 'informazioni di identificazione personale, inclusi indirizzi e-mail, password e credenziali di accesso.

Un reclamo modificato è stato depositato il 26 novembre 2012 per conto di Szpyrka e un altro utente premium di LinkedIn dalla Virginia chiamato Khalilah Gilmore-Wright, come rappresentanti di classe per tutti gli utenti di LinkedIn interessati dalla violazione. La causa ha richiesto "un risarcimento ingiuntivo e altro equo", nonché la restituzione e i danni per i querelanti ei membri della classe.

Dettagli del reclamo

Il reclamo ha sostenuto che LinkedIn non ha protetto adeguatamente i dati degli utenti perché memorizzato password che utilizzano una funzione hash crittografica debole senza ulteriore protezione, nonostante la propria Informativa sulla privacy che afferma che "le informazioni personali fornite saranno protette in conformità con i protocolli e la tecnologia standard del settore."

"Il problema con questa pratica è duplice, "la denuncia ha detto. "Innanzitutto, SHA-1 è una funzione di hashing obsoleta, pubblicata per la prima volta dalla National Security Agency nel 1995. In secondo luogo, memorizzare le password degli utenti in formato hash senza prima" salting "la password si sovrappone ai metodi convenzionali di protezione dei dati e pone rischi significativi all'integrità dei dati sensibili degli utenti. "

L'hashing della password è una forma di crittografia unidirezionale. Un hash della password è una rappresentazione crittografica unica di una password in chiaro, ma a differenza del testo cifrato generato con una funzione di crittografia bidirezionale, gli hash non sono destinati a essere decifrati. Quando gli utenti accedono e inseriscono la loro password, la password viene cancellata al volo e l'hash risultante viene confrontato con quello già memorizzato nel database per quell'utente.

Le funzioni hash precedenti come SHA-1 sono veloci ed efficienti, ma sono anche vulnerabili agli attacchi di forza bruta. Per questo motivo è prassi comune aggiungere una stringa univoca e casuale a ciascuna password prima di eseguirne l'hashing. Questo è noto come "salting" e rende molto più difficile l'hash delle password.

La denuncia sosteneva che se Szpyrka e Gilmore-Wright sapessero che LinkedIn utilizzava la crittografia non standardizzata, non avrebbero pagato per account LinkedIn di qualità superiore a $ 19,95. e $ 99,95 al mese a seconda del tipo di abbonamento.

"Al momento della registrazione e dell'acquisto di un account" premium ", i querelanti ei membri della classe si sono basati sulla rappresentazione di LinkedIn che utilizza" protocolli e tecnologie standard del settore "per preservare l'integrità e sicurezza delle loro informazioni personali nel concordare di creare un account e fornire le proprie PII alla società ", ha affermato il reclamo

La denuncia ha anche sostenuto che le tariffe mensili pagate dai ricorrenti, o una parte di esse, sono state utilizzate da LinkedIn per pagare i costi amministrativi di gestione e sicurezza dei dati e quindi rispettare la promessa di utilizzare protocolli e tecnologie di sicurezza standard del settore.

Azioni giudiziarie

Martedì, la corte ha accolto la mozione di LinkedIn per respingere il reclamo sulla base del fatto che l'Accordo per gli utenti e l'Informativa sulla privacy della società è lo stesso per gli account gratuiti come per i conti premium.

"Qualsiasi presunta promessa fatta da LinkedIn al pagamento di titolari di account premium per quanto riguarda i protocolli di sicurezza è stato fatto anche ai membri non paganti ", ha detto il giudice nel suo ordine di archiviare la causa. "Pertanto, quando un membro acquista un aggiornamento premium, l'accordo non è per un particolare livello di sicurezza, ma in realtà per gli strumenti di rete avanzati e le funzionalità per facilitare l'uso avanzato dei servizi di LinkedIn. Il FAC [First Consolidated Complaint] non Dimostrare sufficientemente che l'affiliazione dei querelanti per l'adesione premium era la promessa di un particolare (o più grande) livello di sicurezza che non faceva parte dell'affiliazione gratuita. "

Inoltre, il giudice ha detto che i querelanti non hanno nemmeno sostenuto che in realtà hanno letto l'informativa sulla privacy, che sarebbe richiesta per sostenere una dichiarazione di falsa dichiarazione per conto di LinkedIn.

Nelle discussioni orali, il legale dei querelanti ha affermato che la causa si basa principalmente su una presunta violazione del contratto, ma per tale richiesta di risarcimento, gli imputati dovevano specificare i danni derivanti da questa presunta violazione del contratto. Il pregiudizio reclamato dai ricorrenti si è verificato prima della presunta violazione del contratto, nel momento in cui le parti hanno stipulato il contratto per la prima volta, ha detto il giudice. Pertanto, la perdita economica che sostengono non può essere il "danno risultante" da una presunta violazione del contratto, ha affermato.

Nei casi in cui il presunto errore derivava da accuse di insufficiente esecuzione delle funzioni di un prodotto, i tribunali hanno stabilito che i querelanti devono affermano "qualcosa di più" che pagare semplicemente un prezzo eccessivo per un prodotto difettoso, ha detto il giudice. "Poiché i querelanti sono contrari al modo in cui LinkedIn ha eseguito i servizi di sicurezza, essi devono addurre" qualcosa di più "del puro danno economico.Questo" qualcosa di più "potrebbe essere un danno che si è verificato a causa dei servizi di sicurezza carenti e della violazione della sicurezza, come, ad esempio, il furto delle informazioni personali che identificano. "