LinkedIn, büyük şifre ihlali nedeniyle tazminat davası açılan davadan işten çıkarmayı kazanır

Profesyonel sosyal paylaşım ağı hizmeti LinkedIn, birinci sınıf kullanıcılara zarar veren bir davayı reddetti. Geçtiğimiz yıl şirket sunucularının güvenlik ihlali sonucunda ortaya çıkan giriş parolaları.

Hackerların bir yeraltı forumundaki LinkedIn hesaplarına karşılık gelen 6.5 milyon parola karması gönderdikten sonra Haziran 2012'nin başında veri ihlali açığa çıktı.. Bu parola karmaşasının yüzde 60'ından fazlası daha sonra bilgisayar korsanları tarafından kırıldı.

LinkedIn'e karşı ilk şikayette 15 nisan 2012'de ABD'nin Kuzey Bölgesi Kaliforniya Eyalet Mahkemesi'nde bir Illinois mukimi tarafından başvuruldu ve LinkedIn hesabına ödeme yapıldı. sahibi Katie Szpyrka.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Şikayet, LinkedIn'in müşterilerini korumak için endüstri standardı protokollerini ve teknolojisini kullanamayarak kendi Kullanıcı Sözleşmesi ve Gizlilik Politikası'nı ihlal ettiğini iddia etti. E-posta adresleri, parolalar ve giriş kimlik bilgileri de dahil olmak üzere kişisel olarak tanımlanabilir bilgiler.

Szpyrka adına 26 Kasım 2012'de ve Virginia'dan Khalilah Gilmore-Wright adında bir başka premium LinkedIn kullanıcısı, sınıf temsilcileri olarak değiştirilmiş bir şikayette bulundu. ihlalden etkilenen tüm LinkedIn kullanıcıları için. Dava, "ihtilaflı ve diğer adil tazminat" ın yanı sıra, davacılar ve sınıf üyeleri için iade ve tazminat talep etti.

Şikayetin ayrıntıları

Şikayet, LinkedIn'in saklandığı için kullanıcı verilerini yeterince koruyamadığını iddia etti. kendi gizlilik politikasına rağmen ek bir koruma olmadan zayıf bir şifreleme karma işlevini kullanan parolalar. "Sağladığınız kişisel bilgiler, endüstri standardı protokolleri ve teknolojisine göre güvence altına alınacaktır."

"Bu uygulamadaki sorun iki katlıdır. "şikayette bulundu. "İlk olarak, SHA-1, 1995 yılında Ulusal Güvenlik Ajansı tarafından yayımlanan eski bir karma işlevidir. İkinci olarak, parolaları" tuzlama "olmadan parola formatında kaydetme, geleneksel veri koruma yöntemlerinin yanı sıra önemli riskler de taşır. Kullanıcıların hassas bilgilerinin bütünlüğüne. "

Şifre karmaşası tek yönlü bir şifreleme şeklidir. Parola karması, bir düz metin parolasının benzersiz bir şifreli gösterimidir, ancak iki yönlü bir şifreleme işleviyle oluşturulan şifreli metinlerin aksine, karmaların şifresi çözülmez. Kullanıcılar giriş yapıp parolalarını girdiklerinde, parola anında kesilir ve sonuçta oluşan karma, o kullanıcı için veritabanında depolanmış olanla eşleşir.

SHA-1 gibi daha eski karma işlevleri hızlı ve verimli olur. ama aynı zamanda kaba kuvvet saldırılarına karşı savunmasızdır. Bu nedenle, her parola için benzersiz ve rasgele bir dizeyi eklemeden önce eklemek yaygın bir uygulamadır. Bu 'tuzlama' olarak bilinir ve şifre karmaşasını çok daha zor hale getirir.

Şikayet, Szpyrka ve Gilmore-Wright'ın LinkedIn'in standart altı şifreleme kullandığını bilmesi durumunda, 19,15 $ 'lık bir fiyatla premium LinkedIn hesapları için ödeme yapamayacaklarını söyledi. ve abonelik türüne bağlı olarak ayda 99.95 dolar.

"Bir" premium "hesap için kaydolurken ve satın alırken, Davacılar ve Class üyeleri, LinkedIn'in bütünlüğünü korumak için 'endüstri standardı protokollerini ve teknolojisini' kullandıklarına dair beyanına güveniyorlardı. ve kişisel bilgileri, bir hesap oluşturmayı ve şirkete bilgi vermeyi kabul etmedeki güvencesini verirken, "şikayet

dedi. Şikayet ayrıca, davacılar tarafından ödenen aylık ücretlerin ya da bir kısmının, LinkedIn tarafından kullanıldığını da iddia etti Veri yönetimi ve güvenliğin idari maliyetlerini ödemek ve dolayısıyla endüstri standardı güvenlik protokollerini ve teknolojisini kullanma vaadini yerine getirmek.

Mahkeme eylemleri

Salı günü, mahkeme, şirketin Kullanıcı Anlaşması'nın ve Gizlilik Politikasının, prim hesapları için olduğu gibi, ücretsiz hesaplar için aynı olduğu gerekçesiyle şikayeti reddetme kararını verdi.

"Yaptığı iddia edilen her söz LinkedIn’de Güvenlik protokolleri ile ilgili olarak prim hesap sahiplerine ödeme yapmak, ücret ödemeyen üyelere de verildi, "yargıç davanı reddetme emrini verdi. "Böylece, bir üye bir üst düzey hesap yükseltmesi satın aldığında, pazarlık belirli bir güvenlik seviyesi değil, aslında LinkedIn hizmetlerinin daha fazla kullanımını kolaylaştıran gelişmiş ağ oluşturma araçları ve yetenekleri için. FAC [İlk Değiştirilmiş Birleştirilmiş Şikayet] Davacılar'ın prim üyeliğine ilişkin pazarlıklarında yer alanların, özgür üyeliğin bir parçası olmayan özel (veya daha büyük) bir güvenlik düzeyinin vaadini de içerdiğini yeterince kanıtladı. "

Ayrıca, yargıç, iddiaya göre, davacının iddia etmediğini ileri sürdü Gerçekte, LinkedIn adına yanlış beyan başvurusunu desteklemek için gerekli olan Gizlilik Politikası'nı okuduklarını ifade etmişlerdir.

Davacıların avukatı, söz konusu davanın esas olarak iddia edilen bir sözleşme ihlali olduğunu; Böyle bir iddia, sanıkların iddia edilen ihlal sözleşmesinden doğan zararları belirtmek zorundaydı. Yargıç, davacıların iddia ettiği zarara, tarafların sözleşmeye ilk girdiği tarihte, iddia edilen sözleşme ihlali öncesinde meydana geldiğini söyledi. Bu nedenle iddia ettikleri ekonomik kayıp, iddia edilen bir sözleşmenin ihlali sonucu ortaya çıkan "zararlar" olamazdı.

Bir ürünün işlevlerinin yetersiz performans gösterdiğine dair iddiaların yanlış olduğu iddia edilen davalarda, mahkemeler davacıların Yargıç, kusurlu bir ürün için fazla ödeme yapılmasından "bir şey daha" olduğunu iddia etti. "Davacılar, LinkedIn'in güvenlik hizmetlerini gerçekleştirme biçimiyle ilgili meseleyi ele aldıkları için, saf ekonomik zarardan" daha fazla bir şey "iddiasında bulunmaları gerekir. Bu 'daha fazlası', eksik güvenlik hizmetleri ve güvenlik ihlali sonucunda meydana gelen bir zarar olabilir. Örneğin, kişisel olarak tanımlanabilir bilgilerinin çalınması gibi. "