LinkedIn vinner uppsägning av rättegång som söker skadestånd för omfattande lösenordsbrott

Professional social networking service LinkedIn vann avskedandet av en rättegång som sökte skador på uppdrag av premiumanvändare som hade sina inloggningslösenord exponerade till följd av ett säkerhetsbrott mot företagets servrar förra året.

Uppdateringen av data uppkom i början av juni 2012, efter att hackare skrev upp 6,5 miljoner lösenhackar motsvarande LinkedIn-konton på ett underjordiskt forum. Mer än 60 procent av dessa lösenordshackar har senare blivit knäckta av hackare.

Den första klagomålet mot LinkedIn inlämnades den 15 juni 2012 i USA: s tingsrätt för Northern District of California av Illinois bosatta och betalda LinkedIn-konto Ägare som heter Katie Szpyrka.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Klagomålet hävdade att LinkedIn kränkt sitt eget användaravtal och integritetspolicy genom att inte använda industristandardprotokoll och teknik för att skydda sina kunder "Personligt identifierbar information, inklusive e-postadresser, lösenord och inloggningsuppgifter".

Ett ändrat klagomål lämnades den 26 november 2012 på uppdrag av Szpyrka och en annan premium LinkedIn-användare från Virginia som heter Khalilah Gilmore-Wright, som klassrepresentanter för alla LinkedIn-användare som påverkades av överträdelsen. Rättegången sökte "injunctive and other equitable relief" samt återbetalning och skador för kärandena och medlemmarna i klassen.

Detaljer om klagomålet

Klagomålet hävdade att LinkedIn inte lyckades skydda användardata på ett adekvat sätt eftersom det lagrats lösenord som använder en svag kryptografisk hashfunktion utan ytterligare skydd, trots sin egen integritetspolicy som säger att "personlig information du tillhandahåller kommer att säkras i enlighet med industristandardprotokoll och teknik."

"Problemet med denna övning är tvåfaldigt, "sade klagomålet. "För det första är SHA-1 en föråldrad hashing-funktion, som först publicerades av National Security Agency 1995. För det andra löser lösenordet i hashed-format utan att först" salta "lösenordet på grund av konventionella dataskyddsmetoder och utgör väsentliga risker till integriteten hos användarnas känsliga data. "

Lösenordshasning är en form av enkelriktad kryptering. En lösenordshash är en unik kryptografisk representation av ett plaintext-lösenord, men i motsats till chiffertext som genereras med en tvåvägskrypteringsfunktion är inte hash avsedd att dekrypteras. När användarna loggar in och matar in sitt lösenord är lösenordet hashed in flight, och den resulterande hash är matchad mot den som redan lagrats i databasen för den användaren.

Äldre hashfunktioner som SHA-1 är snabba och effektiva, men är också utsatta för brutala våldsattacker. På grund av detta är det vanligt att lägga till en unik och slumpmässig sträng till varje lösenord innan det hashes det. Detta kallas "saltning" och gör det svårare för lösenordshacka.

Klagomålet hävdade att om Szpyrka och Gilmore-Wright hade visat att LinkedIn använde substandard kryptering skulle de inte ha betalat för premium LinkedIn-konton som kostar mellan 19,95 dollar och $ 99,95 per månad beroende på prenumerationstyp.

"När du registrerade dig för och köpte ett premiumkonto, åberopade käranden och medlemmarna i klassen på Linkedins representation att det använder" industristandardprotokoll och -teknik "för att bevara integriteten och säkerheten för deras personliga uppgifter i att komma överens om att skapa ett konto och tillhandahålla deras PII till företaget, "klagomålet sade

Klagomålet hävdade också att de månatliga avgifter som betalats av kärandena, eller en del av dem, användes av LinkedIn att betala de administrativa kostnaderna för datahantering och -säkerhet och följaktligen följa sitt löfte om att använda branschstandard säkerhetsprotokoll och teknik.

Domstolsaktioner

Domstolen beviljade på tisdagen LinkedIns förslag att avvisa klagomålet med utgångspunkt i att bolagets användaravtal och sekretesspolicy är samma för gratiskonton som för premiumkonton.

"Eventuellt påstått löfte LinkedIn gjort att betala premium kontoinnehavare angående säkerhetsprotokoll gjordes också till icke-betalande medlemmar, "sade domaren i sin order att avvisa rättegången. "Således när en medlem köper en premiumkontouppgradering, är fyndet inte för en viss säkerhetsnivå, utan för de avancerade nätverksverktygen och kapaciteten för att underlätta ökad användning av LinkedIns tjänster. FAC [Första ändrad konsoliderad klagomål] tillräckligt visat att det som ingår i kärandens fynd för premiummedlemskap var ett löfte om en viss säkerhetsnivå som inte var en del av det fria medlemskapet. "

Dessutom sa domaren att käranden inte ens hävdar att de faktiskt läste sekretesspolicyen, vilket skulle krävas för att stödja ett påstående om förvrängning på uppdrag av LinkedIn.

Vid muntliga argument hävdade kärandens advokat att rättegången huvudsakligen grundar sig på ett påstått kontraktsbrott, men för Ett sådant påstående att stå, de tilltalade behövde specificera skador som härrör från detta påstådda kontraktsbrott. Den skada som sökandena hävdade inträffade före det påstådda kontraktsprotokollet, när parterna först trädde i kontraktet, sa domaren. Därför kan den ekonomiska förlusten de hävdar inte vara den "resulterande skadan" från en påstådd kontraktsbrott, säger han.

Om det påstådda felet härrörde från påståenden om att produktens funktioner inte var tillräckliga, har domstolen fastslagit att kärandena måste hävda "någonting mer" än att bara överbetala för en defekt produkt, sa domaren. "Eftersom käranden tar upp problemet med hur LinkedIn utförde säkerhetstjänsterna, måste de hävda" något mer "än rent ekonomisk skada. Det här" något mer "kan vara en skada som uppstod till följd av bristande säkerhetstjänster och säkerhetsbrott, till exempel stöld av deras personligt identifierbara uppgifter. "