LinkedIn voittaa oikeudenkäynnin irtisanomisen, joka vaatii vahinkoa massiiviselle salasanan rikkomukselle

Sosiaalisen verkostoitumisen palvelu LinkedIn sai hylkäämään oikeudenkäynnin, joka vaatii korvauksia sellaisten premium-käyttäjien puolesta, joilla oli

Tietojen rikkominen tuli esiin kesäkuun alussa 2012, kun hakkerit julkaisivat 6.5 miljoonaa salasananlukua, jotka vastaavat LinkedIn-tilit maanalaisessa keskustelupalstalla.

LinkedInin ensimmäinen kantelu jätettiin 15.6.2012 Yhdysvaltain käräjäoikeudessa Pohjois-Kalifornian käräjäoikeudessa Illinois-asukkaalla ja maksoi LinkedIn-tilillä omistajan nimeltä Katie Szpyrka.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Valituksessa väitettiin, että LinkedIn rikkoi omaa käyttöoikeussopimustaan ​​ja tietosuojakäytäntönsä, koska se ei ole käyttänyt alan standardiprotokollia ja -tekniikkaa asiakkaidensa suojelemiseksi "yksilölliset tiedot, mukaan lukien sähköpostiosoitteet, salasanat ja sisäänkirjautumisvaltuutukset.

Muutettu valitus tehtiin 26.11.2012 Szpyrkan puolesta ja toinen palkittu LinkedIn-käyttäjä Virginia-nimeltään Khalilah Gilmore-Wright, luokan edustajina kaikille LinkedIn käyttäjille, joihin rikkominen oli vaikuttanut. Oikeudenkäynnin kohteena oli "kieltomääräys ja muu oikeudenmukainen helpotus" sekä korvauksen ja vahingonkorvaus kantajille ja luokan jäsenille.

Valituksen yksityiskohdat

Valituksessa väitettiin, että LinkedIn ei onnistunut suojelemaan riittävästi käyttäjätietoja, koska se tallensi salasanat, jotka käyttävät heikkoa kryptografista hajautustoimintoa ilman lisäsuojaa huolimatta omasta tietosuojakäytännöstään, jossa todetaan, että "antamasi henkilökohtaiset tiedot turvataan alan standardiprotokollan ja tekniikan mukaisesti."

"Tämän käytännön ongelma on kaksinkertainen, "valitus sanoi. "Ensinnäkin SHA-1 on vanhentunut hajautusfunktio, jonka National Security Agency julkaisi ensimmäisen kerran vuonna 1995. Toiseksi käyttäjän salasanojen tallentaminen hajautetussa muodossa ilman salailun aloittamista salakuljettaa tavanomaisten tietosuojamenetelmien avulla ja aiheuttaa merkittäviä riskejä käyttäjien arkaluontoisten tietojen luotettavuutta. "

Salasanan hajautus on yksisuuntaisen salauksen muoto. Salasanan hash on salaperäisen salakirjoituksen salaperäinen esitys, mutta toisin kuin kaksisuuntaisella salaustoiminnolla luodut salaustekstit, ei ole tarkoitus salakuunnella salauksia. Kun käyttäjät kirjautuvat sisään ja syöttävät salasanansa, salasana hajautetaan lennossa ja tuloksena oleva hash vastaa hakijan tietokantaan tallennettua tietokantaa.

Vanhemmat hash-toiminnot, kuten SHA-1, ovat nopeita ja tehokkaita, mutta ovat myös alttiita raa'at hyökkäyksille. Tästä johtuen on tavallista, että jokaiseen salasanaan lisätään ainutlaatuinen ja satunnainen merkkijono ennen kuin se haetaan. Valituksessa todettiin, että jos Szpyrka ja Gilmore-Wright olivat tienneet, että LinkedIn käytti substandard-salausta, ne eivät olisi maksaneet Premium LinkedIn -tilin, joka maksoi 19,95 dollaria ja 99,95 dollaria kuukaudessa tilaustyypin mukaan.

"Kun kirjaudut sisään ja ostat" premium "-tilin, kantajat ja luokan jäsenet luottivat LinkedInin edustukseen, että se käyttää" alan standardiprotokollia ja -tekniikkaa "eheyden säilyttämiseksi ja heidän tietonsa turvallisuudesta, kun he ovat sopineet luodessaan tilin ja antavat heidän henkilökohtaisen tiedostonsa yritykselle ", valitus sanoi

Valituksessa myös väitettiin, että LinkedIn käytti kantajien tai osan niistä maksamia kuukausimaksuja maksaa tietohallinnon ja turvallisuuden hallinnolliset kustannukset ja siksi noudattavat lupauksiaan käyttää alan standardiprotokollia ja -tekniikkaa.

Tuomioistuimen toimet

Tiistaina tuomioistuin myönsi LinkedInin tekemän päätöksen hylätä valituksen sillä perusteella, että yhtiön käyttöehdot ja tietosuojakäytäntö ovat samat maksutileille kuin maksutileille.

"Kaikki väitetyt lupaukset LinkedIn teki maksaa maksupalkkioiden haltijoille tietoturvapöytäkirjoista myös maksamattomille jäsenille ", tuomari totesi kanteessaan hylkäämään oikeudenkäynnin. "Näin ollen, kun jäsen ostaa korkealaatuisen tilin päivityksen, sopimus ei ole tietylle turvallisuustasolle vaan varsinaisesti kehittyneille verkkotyökaluille ja -ominaisuuksille, joilla helpotetaan LinkedInin palveluiden käyttöä. FAC: n [ensimmäinen muutettu yhdistetty kantelu] ei osoittaa riittävästi, että kantajien palkkio-osuuteen liittyvä sopimus oli lupaus tietylle (tai suuremmalle) turvallisuustasolle, joka ei kuulunut vapaan jäsenyyden piiriin. "

Lisäksi tuomari sanoi, että kantajat eivät edes väitä että he todella lukivat tietosuojaperiaatteen, jota vaadittaisiin tukemaan väitetiedoksiantoa LinkedInin puolesta.

Suullisissa perusteluissa kantajien neuvonantaja väitti, että oikeusjuttu perustuu ensisijaisesti väitettyyn sopimusrikkomukseen, mutta tällainen vaatimus pysyä, vastaajien oli määritettävä vahingonkorvaukset johtuvat tämän väitetyn sopimuksen rikkomisesta. Kantajien väittämä vahinko on tapahtunut ennen väitettyä sopimusrikkomusta, kun osapuolet alun perin tekivät sopimuksen, tuomari totesi. Niinpä ne taloudelliset menetykset, joita he väittävät, eivät voi olla "aiheutuneita vahinkoja" väitetystä sopimusrikkomuksesta, hän totesi.

Tapauksissa, joissa väitetty virhe oli aiheutunut väitteistä, joiden mukaan tuotteen toimintakyky ei riitä, tuomioistuimet ovat katsoneet, että kantajien on väittävät "jotain enemmän" kuin vain yli maksetaan viallinen tuote, tuomari sanoi. "Koska kantajat kiistävät sen, miten LinkedIn on suorittanut tietoturvapalvelut, heidän on todettava" jotain muuta "kuin pelkkää taloudellista vahinkoa. Tämä" jotain muuta "voisi olla haittaa, joka johtui puutteellisten tietoturvapalveluiden, kuten esimerkiksi heidän henkilökohtaisesti tunnistettavien tietojen varastaminen. "