目录:
专业社交网络服务LinkedIn赢得了代表高级用户寻求损害赔偿的诉讼的解雇登录密码去年因公司服务器安全漏洞而暴露的登录密码
在黑客在地下论坛上发布了与LinkedIn账户相对应的650万密码哈希后,2012年6月初数据泄露事件曝光。超过60%的密码哈希后来被黑客破解。
2012年6月15日,第一起针对LinkedIn的投诉由伊利诺伊州居民提交给美国加利福尼亚北部地区的地方法院,并支付了LinkedIn帐号所有者名为Katie Szpyrka。
[进一步阅读:如何从Windows PC删除恶意软件]投诉指称,LinkedIn未能利用行业标准协议和技术来保护其客户,因而违反了其自己的用户协议和隐私政策'个人身份信息,包括电子邮件地址,密码和登录凭据。
2012年11月26日,代表Szpyrka和另一名来自弗吉尼亚州的优质LinkedIn用户Khalilah Gilmore-Wright作为集体代表适用于受到违规影响的所有LinkedIn用户。该诉讼要求“禁令和其他公平救济”以及原告和全体成员的赔偿和赔偿。
投诉详情
投诉指称LinkedIn未能充分保护用户数据,因为它存储密码使用弱加密散列函数,无需额外保护,尽管其自己的隐私政策声明“您提供的个人信息将根据行业标准协议和技术进行保护。”
“这种做法的问题有两方面, “投诉说。 “首先,SHA-1是一种过时的哈希函数,由国家安全局于1995年首次发布。其次,在不首先”密码“密码的情况下以散列格式存储用户密码与传统的数据保护方法相违背,并带来重大风险到用户敏感数据的完整性。“
密码散列是单向加密的一种形式。密码哈希是明文密码的唯一密码表示,但与使用双向加密函数生成的密文不同,哈希不意味着被解密。当用户登录并输入密码时,密码将被即时散列,并且生成的散列与已存储在该数据库中的散列相匹配
像SHA-1这样的旧散列函数快速高效,但也容易受到暴力攻击。因此,在散列它之前,为每个密码附加一个唯一的随机字符串是很常见的做法。这被称为'salting',使得密码哈希破解更加困难。
投诉认为,如果Szpyrka和Gilmore-Wright知道LinkedIn使用不合标准的加密,他们将不会支付高达$ 19.95每月99.95美元,具体取决于订阅类型
“在注册和购买'高级'帐户时,原告和该类成员依赖于LinkedIn使用'行业标准协议和技术'来保持完整性的表示以及他们的个人信息的安全性,以同意创建一个帐户并向公司提供他们的个人身份信息,“投诉说
投诉还认为,原告或其中一部分支付的月费由LinkedIn使用支付数据管理和安全的管理成本,并因此符合其使用行业标准安全协议和技术的承诺。
法庭诉讼
周二,法院批准LinkedIn提出驳回投诉的动议,理由是该公司的用户协议和隐私政策对于免费帐户是相同的,因为它对于高级帐户是一样的。支付高级账户持有人有关安全协议的信息也发给了非付费会员,“法官在他的命令中表示驳回诉讼。 “因此,当会员购买高级账户升级时,讨价还价不是针对特定的安全级别,而是实际上针对高级网络工具和功能来促进对LinkedIn服务的增强使用.FAC [首次修订合并投诉]不充分证明原告对高级会员资格的讨价还价是对不属于免费会员资格的特定(或更高)安全级别的承诺。“
此外,法官称,原告甚至不声称他们实际上阅读隐私政策,这将需要支持代表LinkedIn的失实陈述的要求
在口头辩论中,原告的律师声称,诉讼主要基于违反合同的指控,但对于这样的声明表明,被告需要指定由此指称的违约造成的损害赔偿。法官称,原告要求的伤害发生在所称违反合同之前,当事方首次订立合同时。因此,他们声称的经济损失不能成为指称违反合同的“造成的损害”,
.如果指称的错误源于产品功能不足的指控,法院裁定原告需要这位法官说,这不仅仅是为了瑕疵产品而付出更多的代价。 “由于原告对LinkedIn执行安全服务的方式存在疑问,他们必须声称”比纯粹的经济损害更多“,这种”更多的东西“可能是安全服务和安全漏洞不足造成的损害,例如盗窃他们的个人身份信息。“