ينكدين يفوز ينفي دعوى قضائية تسعى الأضرار لخرق كلمة مرور هائلة

خدمة الشبكات الاجتماعية المهنية لينكدين فازت بإقالة دعوى قضائية مطالبة بتعويضات نيابة عن المستخدمين المميزين الذين كلمات المرور لتسجيل الدخول التي تم كشفها كنتيجة لخرق أمني لخوادم الشركة في العام الماضي.

تم الكشف عن خرق البيانات في بداية يونيو 2012 ، بعد أن سجل المخترقون 6.5 مليون كلمة مرور تتطابق مع حسابات LinkedIn في منتدى تحت الأرض. أكثر من 60 في المئة من تلك التجزئات الخاصة بكلمات المرور تم تصدعها في وقت لاحق من قبل المتسللين.

تم تقديم الشكوى الأولى ضد ينكدين في 15 يونيو 2012 ، في المحكمة الجزئية الأمريكية للمنطقة الشمالية من ولاية كاليفورنيا من قبل مقيم في ولاية ايلينوي وحساب ينكدين مالك يدعى كاتي Szpyrka.

[اقرأ المزيد: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الخاص بك ويندوز]

ادعت الشكوى أن ينكدين انتهكت اتفاقية المستخدم الخاصة بها وسياسة الخصوصية عن طريق عدم استخدام البروتوكولات القياسية والصناعة لحماية عملائها "معلومات التعريف الشخصية ، بما في ذلك عناوين البريد الإلكتروني وكلمات المرور وبيانات اعتماد تسجيل الدخول.

تم تقديم شكوى معدلة في 26 نوفمبر 2012 نيابة عن Szpyrka ومستخدم متميز آخر من LinkedIn اسمه Virginia Khalilah Gilmore-Wright ، كممثلين للصف لجميع مستخدمي LinkedIn الذين تأثروا بالانتهاك. سعت الدعوى القضائية "الزجري وغير ذلك من الإغاثة العادل" ، فضلا عن التعويض والأضرار للمدعين وأعضاء من الطبقة.

تفاصيل الشكوى

ادعت الشكوى أن ينكدين فشلت في حماية بيانات المستخدم بشكل كاف لأنها تخزن كلمات المرور باستخدام دالة تجزئة ضعيفة ضعيفة دون حماية إضافية ، على الرغم من سياسة الخصوصية الخاصة بها التي تنص على أن "المعلومات الشخصية التي تقدمها سيتم تأمينها وفقًا للبروتوكولات القياسية الصناعية والتكنولوجيا."

"المشكلة في هذه الممارسة ذات شقين ، "الشكوى قالت. "أولاً ، SHA-1 هي وظيفة تجزئة قديمة نشرتها وكالة الأمن القومي في عام 1995. وثانياً ، تخزين كلمات مرور المستخدمين في صيغة مجزأة دون" التمليح "أولاً ، تتداخل كلمة المرور مع طرق حماية البيانات التقليدية ، وتشكل مخاطر كبيرة لسلامة البيانات الحساسة للمستخدمين. "

تجزئة كلمة المرور هو شكل من أشكال التشفير أحادية الاتجاه. تجزئة كلمة المرور عبارة عن تمثيل تشفير فريد لكلمة مرور نص عادي ، ولكن على عكس النص المشفر المتولد مع وظيفة تشفير ثنائية الاتجاه ، لا يُقصد به فك التجزؤ. عندما يقوم المستخدمون بتسجيل الدخول وإدخال كلمة المرور الخاصة بهم ، فإن كلمة المرور يتم تجزئتها على الطاير ، ويتم مطابقة التجزئة الناتج مع تلك التي تم تخزينها بالفعل في قاعدة البيانات لذلك المستخدم.

وظائف هاش القديمة مثل SHA-1 سريعة وفعالة ، ولكنها عرضة أيضًا لهجمات القوة الغاشمة. وبسبب هذا ، فمن الشائع إلحاق سلسلة فريدة وعشوائية بكل كلمة مرور قبل تجزئتها. ويعرف هذا باسم "التمليح" ويجعل عملية تشريح كلمة المرور أكثر صعوبة.

أكدت الشكوى أنه إذا كان زيبركا وجيلمور رايت قد عرفا أن LinkedIn تستخدم تشفيرًا دون المستوى ، فلن يكونا قد دفعا مقابل حسابات LinkedIn المميزة التي تكلف ما بين 19.95 دولارًا و 99.95 دولار في الشهر اعتمادًا على نوع الاشتراك.

"عند التسجيل للحصول على حساب" ممتاز "وشرائه ، اعتمد المدعون وأعضاء الفصل على تمثيل LinkedIn بأنهم يستخدمون" بروتوكولات وتكنولوجيا قياسية في المجال "للحفاظ على النزاهة "وأوضحت الشكوى أيضًا أن الرسوم الشهرية التي يدفعها المدعون ، أو جزء منها ، قد استخدمت من قبل LinkedIn" ، وأمنوا معلوماتهم الشخصية في الموافقة على إنشاء حساب وتقديم معلومات تحديد الهوية الشخصية للشركة. لدفع التكاليف الإدارية لإدارة البيانات والأمن ، وبالتالي الامتثال لوعودها باستخدام بروتوكولات الأمن والتكنولوجيا القياسية.

إجراءات المحكمة

في يوم الثلاثاء ، منحت المحكمة التماس لـ LinkedIn لنقض الشكوى على أساس أن اتفاقية المستخدم وسياسة الخصوصية الخاصة بالمؤسسة هي نفسها بالنسبة للحسابات المجانية كما هو الحال في حسابات قسط التأمين.

"أي تعهد مزعوم ينكدين "دفعت أيضا لأصحاب الحسابات قسط التأمين بشأن البروتوكولات الأمنية إلى عدم دفع الأعضاء" ، وقال القاضي في أمره لرفض الدعوى. "وهكذا ، عندما يشتري عضو ترقية الحساب المتميز ، فإن الصفقة ليست لمستوى معين من الأمان ، ولكن في الواقع لأدوات وقدرات الشبكات المتقدمة لتسهيل الاستخدام المحسن لخدمات LinkedIn. FAC [الشكوى الموحدة المعدلة أولاً] لا ما يكفي من إثبات أن المشمولين في صفقة المدعي للعضوية الممتازة كان الوعد بمستوى معين (أو أكبر) من الأمن لم يكن جزءًا من العضوية المجانية. "

علاوة على ذلك ، قال القاضي ، لا يدعي المدعون حتى أنهم قرأوا بالفعل سياسة الخصوصية ، التي ستكون مطلوبة لدعم مطالبة بالتضليل بالنيابة عن LinkedIn.

في الحجج الشفوية ، أكد محامي المدعين أن الدعوى تستند في المقام الأول إلى انتهاك مزعوم للعقد ، ولكن مثل هذه المطالبة بالوقوف ، كان على المدعى عليهم تحديد التعويضات الناتجة عن هذا الإخلال المزعوم بالعقد. وقال القاضي إن الإصابة التي يطالب بها المدعون حدثت قبل انتهاك العقد المزعوم ، في الوقت الذي دخلت فيه الأطراف لأول مرة في العقد. لذلك ، فإن الخسارة الاقتصادية التي يدعون أنها لا يمكن أن تكون "الأضرار الناجمة" عن خرق مزعوم للعقد ، كما قال.

في الحالات التي ينبع فيها الخطأ المزعوم من مزاعم الأداء غير الكافي لمهام المنتج ، قضت المحاكم بأن المدعين بحاجة إلى يقول القاضي "إن الأمر أكثر" من مجرد دفع مبالغ زائدة عن منتج معيوب. "لأن المدعين يتعاملون مع الطريقة التي تؤدي بها لينكدين الخدمات الأمنية ، يجب أن يدّعون" شيئًا أكثر "من الأذى الاقتصادي الخالص. هذا" شيء أكثر "يمكن أن يكون ضررًا يحدث نتيجة لنقص الخدمات الأمنية وخرق الأمان ، على سبيل المثال ، سرقة معلومات التعريف الشخصية الخاصة بهم. "