LinkedIn memenangkan pemberhentian gugatan yang meminta ganti rugi karena pelanggaran sandi besar-besaran

Layanan jejaring sosial profesional LinkedIn memenangkan pemecatan gugatan yang mencari kerusakan atas nama pengguna premium yang memiliki log-in password terpapar sebagai akibat dari pelanggaran keamanan server perusahaan tahun lalu.

Pelanggaran data terungkap pada awal Juni 2012, setelah peretas memposting 6.5 juta hash sandi yang terkait dengan akun LinkedIn di forum bawah tanah. Lebih dari 60 persen dari hash kata sandi tersebut kemudian dipecahkan oleh peretas.

Keluhan pertama terhadap LinkedIn diajukan pada 15 Juni 2012, di Pengadilan Distrik AS untuk Distrik Utara California oleh penduduk Illinois dan berbayar akun LinkedIn pemilik yang bernama Katie Szpyrka.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Keluhan menyatakan bahwa LinkedIn melanggar Perjanjian Pengguna dan Kebijakan Privasi sendiri dengan tidak menggunakan protokol dan teknologi standar industri untuk melindungi pelanggannya 'informasi pribadi yang dapat diidentifikasi, termasuk alamat email, kata sandi dan kredensial masuk.

Pengaduan yang diubah diajukan pada 26 November 2012 atas nama Szpyrka dan pengguna LinkedIn premium lainnya dari Virginia bernama Khalilah Gilmore-Wright, sebagai perwakilan kelas untuk semua pengguna LinkedIn yang terpengaruh oleh pelanggaran tersebut. Gugatan itu mencari "ganti rugi yang adil dan setara," serta ganti rugi dan ganti rugi untuk penggugat dan anggota kelas.

Rincian keluhan

Keluhan dugaan bahwa LinkedIn gagal melindungi data pengguna secara memadai karena disimpan kata sandi menggunakan fungsi hash kriptografi yang lemah tanpa perlindungan tambahan, meskipun Kebijakan Privasi sendiri menyatakan bahwa "informasi pribadi yang Anda berikan akan dijamin sesuai dengan protokol dan teknologi standar industri."

"Masalah dengan praktik ini adalah dua kali lipat, "Keluhan itu berkata. "Pertama, SHA-1 adalah fungsi hashing yang usang, pertama kali diterbitkan oleh National Security Agency pada tahun 1995. Kedua, menyimpan kata sandi pengguna dalam format yang di-hash tanpa terlebih dahulu 'mengaramel' kata sandi yang bertabrakan dengan metode perlindungan data konvensional, dan menimbulkan risiko yang signifikan. untuk integritas data sensitif pengguna. "

Pencirian kata sandi adalah bentuk enkripsi satu arah. Sebuah hash kata sandi adalah representasi kriptografi unik dari kata sandi plaintext, tetapi tidak seperti ciphertext yang dihasilkan dengan fungsi enkripsi dua arah, hash tidak dimaksudkan untuk didekripsi. Ketika pengguna login dan memasukkan kata sandi mereka, kata sandi di-hash on the fly, dan hash yang dihasilkan cocok dengan yang sudah tersimpan dalam database untuk pengguna itu.

Fungsi hash yang lebih tua seperti SHA-1 cepat dan efisien, tetapi juga rentan terhadap serangan brute force. Karena ini, adalah praktik umum untuk menambahkan string unik dan acak ke setiap kata sandi sebelum hashing itu. Ini dikenal sebagai 'penggaraman' dan membuat sandi hash menjadi lebih sulit.

Keluhan dipertahankan bahwa jika Szpyrka dan Gilmore-Wright mengetahui bahwa LinkedIn menggunakan enkripsi bawah standar yang tidak akan mereka bayarkan untuk akun LinkedIn premium yang biayanya antara $ 19,95 dan $ 99,95 per bulan tergantung pada jenis langganan.

"Ketika mendaftar dan membeli akun 'premium', Penggugat dan anggota Kelas mengandalkan perwakilan LinkedIn yang menggunakan 'protokol dan teknologi standar industri' untuk menjaga integritas dan keamanan informasi pribadi mereka dalam menyetujui untuk membuat akun dan memberikan PII mereka kepada perusahaan, "keluhan tersebut mengatakan

Keluhan juga berpendapat bahwa biaya bulanan yang dibayarkan oleh penggugat, atau sebagian dari mereka, digunakan oleh LinkedIn untuk membayar biaya administrasi manajemen data dan keamanan dan karena itu memenuhi janjinya untuk menggunakan protokol dan teknologi keamanan standar industri.

Pengadilan bertindak

Pada hari Selasa, pengadilan memberikan mosi LinkedIn untuk menolak keluhan atas dasar bahwa Perjanjian Pengguna dan Kebijakan Privasi perusahaan adalah sama untuk akun gratis seperti untuk akun premium.

"Setiap dugaan janji yang dibuat LinkedIn untuk membayar pemegang akun premium mengenai protokol keamanan juga dibuat untuk anggota yang tidak membayar, "kata hakim dalam perintahnya untuk membatalkan gugatan itu. "Jadi, ketika seorang anggota membeli upgrade akun premium, tawar-menawar bukan untuk tingkat keamanan tertentu, tetapi sebenarnya untuk alat dan kemampuan jaringan canggih untuk memfasilitasi peningkatan penggunaan layanan LinkedIn. FAC [First Amended Consolidated Complaint] tidak cukup menunjukkan bahwa termasuk dalam tawar-menawar Penggugat untuk keanggotaan premium adalah janji tingkat keamanan tertentu (atau lebih besar) yang bukan bagian dari keanggotaan gratis. "

Selanjutnya, hakim mengatakan, penggugat bahkan tidak menuduh bahwa mereka benar-benar membaca Kebijakan Privasi, yang akan diperlukan untuk mendukung klaim salah saji atas nama LinkedIn.

Dalam argumen lisan, pengacara penggugat menegaskan bahwa gugatan itu terutama didasarkan pada dugaan pelanggaran kontrak, tetapi untuk klaim seperti itu untuk berdiri, para terdakwa diperlukan untuk menentukan kerusakan akibat dari dugaan pelanggaran kontrak. Cedera yang diklaim oleh penggugat terjadi sebelum dugaan pelanggaran kontrak, pada saat para pihak pertama kali masuk ke dalam kontrak, kata hakim. Oleh karena itu kerugian ekonomi yang mereka klaim tidak dapat menjadi "kerusakan yang dihasilkan" dari dugaan pelanggaran kontrak, katanya.

Dalam kasus di mana dugaan yang salah berasal dari tuduhan tidak cukupnya kinerja fungsi suatu produk, pengadilan telah memutuskan bahwa penggugat perlu menuduh "sesuatu yang lebih" daripada hanya membayar lebih untuk produk cacat, kata hakim. "Karena Penggugat mempermasalahkan dengan cara di mana LinkedIn melakukan layanan keamanan, mereka harus menuduh 'sesuatu yang lebih' daripada kerusakan ekonomi murni. Ini 'sesuatu yang lebih' bisa menjadi kerugian yang terjadi sebagai akibat dari layanan keamanan yang kurang dan pelanggaran keamanan, seperti, misalnya, pencurian informasi identitas pribadi mereka. "