LinkedIn wint ontslag van rechtszaak tot schadevergoeding voor massale inbreuk op wachtwoord

Professionele sociale netwerkdienst LinkedIn won het sepot van een rechtszaak waarbij schadevergoeding werd gevorderd namens premiumgebruikers die hun log-in wachtwoorden blootgesteld als gevolg van een inbreuk op de beveiliging van de servers van het bedrijf vorig jaar.

De datalek kwam aan het licht begin juni 2012, nadat hackers 6,5 miljoen wachtwoord hashes hadden geposteerd die overeenkomen met LinkedIn-accounts op een ondergronds forum. Meer dan 60 procent van die wachtwoord-hashes werden later gekraakt door hackers.

De eerste klacht tegen LinkedIn werd ingediend op 15 juni 2012 in de Amerikaanse District Court voor de Northern District of California door een inwoner van Illinois en betaalde LinkedIn-account eigenaar genaamd Katie Szpyrka.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

De klacht beweerde dat LinkedIn zijn eigen gebruikersovereenkomst en privacybeleid schond door geen gebruik te maken van protocollen en technologie om de klanten te beschermen 'persoonlijk identificeerbare informatie, inclusief e-mailadressen, wachtwoorden en inloggegevens.

Een gewijzigde klacht werd ingediend op 26 november 2012 namens Szpyrka en een andere premium LinkedIn-gebruiker uit Virginia genaamd Khalilah Gilmore-Wright, als klassenvertegenwoordiger voor alle LinkedIn-gebruikers die getroffen zijn door de overtreding. De rechtszaak beoogde 'gerechtelijke en andere billijke hulp', evenals restitutie en schadevergoeding voor de aanklagers en leden van de klas.

Details van de klacht

De klacht beweerde dat LinkedIn gebruikersgegevens niet adequaat kon beschermen omdat het werd opgeslagen wachtwoorden met een zwakke cryptografische hash-functie zonder extra bescherming, ondanks het eigen privacybeleid waarin staat dat "persoonlijke informatie die u verstrekt, zal worden beveiligd in overeenstemming met protocollen en technologie van de industriestandaard."

"Het probleem met deze praktijk is tweeledig, "de klacht zei. "Ten eerste is SHA-1 een verouderde hash-functie, die voor het eerst werd gepubliceerd door de National Security Agency in 1995. Ten tweede, het opslaan van wachtwoorden van gebruikers in gehashte indeling zonder het wachtwoord eerst te 'verzouten', komt voort uit conventionele gegevensbeschermingsmethoden en brengt aanzienlijke risico's met zich mee de integriteit van de gevoelige gegevens van gebruikers. "

Wachtwoordhashing is een vorm van eenrichtingsversleuteling. Een wachtwoordhash is een unieke cryptografische weergave van een leesbaar wachtwoord, maar in tegenstelling tot cijfertekst die is gegenereerd met een tweewegscryptiefunctie, is het niet de bedoeling dat hashes worden gedecodeerd. Wanneer gebruikers zich aanmelden en hun wachtwoord invoeren, wordt het wachtwoord meteen gehasht en wordt de resulterende hash vergeleken met de hash die al in de database voor die gebruiker is opgeslagen.

Oudere hashfuncties zoals SHA-1 zijn snel en efficiënt, maar zijn ook kwetsbaar voor brute force-aanvallen. Daarom is het gebruikelijk om een ​​unieke en willekeurige reeks aan elk wachtwoord toe te voegen voordat het hashing. Dit staat bekend als 'zouten' en maakt het hashkraken van wachtwoorden veel moeilijker.

De klacht handhaafde dat als Szpyrka en Gilmore-Wright hadden geweten dat LinkedIn substandaard-encryptie gebruikte, ze niet zouden hebben betaald voor premium LinkedIn-accounts die tussen de $ 19,95 kosten en $ 99,95 per maand, afhankelijk van het abonnementstype.

"Bij het aanmelden voor en het kopen van een 'premium'-account vertrouwden eisers en de leden van de Class op de vertegenwoordiging van LinkedIn dat het' industriestandaardprotocollen en -technologie 'gebruikt om de integriteit te behouden en de veiligheid van hun persoonlijke gegevens in het overeenkomen om een ​​account aan te maken en hun PII aan het bedrijf te verstrekken, "de klacht zei

De klacht betoogde ook dat de maandelijkse vergoedingen betaald door de aanklagers, of een deel daarvan, werden gebruikt door LinkedIn om de administratieve kosten van gegevensbeheer en beveiliging te betalen en daarom te voldoen aan de belofte van het gebruik van industriële beveiligingsprotocollen en -technologie.

Gerechtelijke acties

Op dinsdag heeft de rechtbank gehoor gegeven aan het verzoek van LinkedIn om de klacht af te wijzen op grond van het feit dat de gebruikersovereenkomst en het privacybeleid hetzelfde zijn voor gratis accounts als voor premiumaccounts.

"Elke vermeende belofte die LinkedIn heeft gedaan het betalen van premium rekeninghouders met betrekking tot beveiligingsprotocollen werd ook gedaan aan niet-betalende leden, "zei de rechter in zijn bevel om de rechtszaak te seponeren. "Dus als een lid een premium account-upgrade koopt, is de afspraak niet voor een bepaald niveau van beveiliging, maar eigenlijk voor de geavanceerde netwerktools en -mogelijkheden om een ​​verbeterd gebruik van de LinkedIn-services mogelijk te maken.De FAC [First Amended Consolidated Complaint] doet niet voldoende aantonen dat inbegrepen in de koopjes van eisers voor premium lidmaatschap de belofte was van een bepaald (of hoger) niveau van beveiliging dat geen deel uitmaakte van het gratis lidmaatschap. "

Verder, aldus de rechter, stellen de aanklagers zelfs niet dat zij daadwerkelijk het privacybeleid lezen dat nodig zou zijn om een ​​claim van een onjuiste voorstelling van zaken namens LinkedIn te ondersteunen.

In pleidooien beweerden de raadslieden van de aanklagers dat de rechtszaak primair is gebaseerd op een vermeende contractbreuk, maar voor een dergelijke claim op te maken, moesten de beklaagden de schade specificeren die het gevolg was van deze vermeende contractbreuk. De schade opgeëist door de eisers opgetreden vóór de vermeende contractbreuk, op het moment waarop de partijen het eerste het contract zijn aangegaan, de rechter gezegd. Daarom kan het economische verlies dat zij claimen niet de "resulterende schade" zijn van een vermeende contractbreuk, zei hij.

In gevallen waarin het vermeende onrecht te wijten was aan beschuldigingen van onvoldoende uitvoering van de functies van een product, hebben rechtbanken geoordeeld dat eisers beweren "iets meer" dan alleen te veel betalen voor een defect product, zei de rechter. "Omdat eisers het niet eens zijn met de manier waarop LinkedIn de beveiligingsdiensten heeft uitgevoerd, moeten ze 'iets meer' beweren dan louter economisch nadeel. Dit 'iets meer' kan een nadeel zijn als gevolg van de gebrekkige beveiligingsservices en beveiligingslek, zoals bijvoorbeeld diefstal van hun persoonlijk identificeerbare informatie. "