LinkedIn remporte le procès pour violation de mot de passe massive

La violation de données a été découverte début juin 2012, après que des hackers ont publié 6,5 millions de hashs de mots de passe correspondant à des comptes LinkedIn sur un forum clandestin.. Plus de 60% de ces mots de passe ont été piratés par des pirates.

La première plainte contre LinkedIn a été déposée le 15 juin 2012 par un résident de l'Illinois devant un tribunal de district du nord de la Californie. La plainte alléguait que LinkedIn avait violé son propre contrat d'utilisateur et sa politique de confidentialité en omettant d'utiliser les protocoles et la technologie standard de l'industrie pour protéger ses clients. "informations personnellement identifiables, y compris les adresses e-mail, mots de passe et identifiants de connexion.

Une plainte modifiée a été déposée le 26 novembre 2012 au nom de Szpyrka et un autre utilisateur premium de LinkedIn, Khalilah Gilmore-Wright pour tous les utilisateurs de LinkedIn qui ont été affectés par la violation. Le procès visait à obtenir une «injonction et un autre redressement équitable», ainsi que la restitution et les dommages-intérêts pour les plaignants et les membres du groupe.

Détails de la plainte

La plainte alléguait que LinkedIn ne protégeait pas adéquatement les données des utilisateurs les mots de passe utilisant une fonction de hachage cryptographique faible sans protection supplémentaire, malgré sa propre politique de confidentialité stipulant que "les informations personnelles que vous fournissez seront sécurisées conformément aux protocoles et à la technologie standard de l'industrie".

"Le problème avec cette pratique est double. "la plainte a dit. «Premièrement, SHA-1 est une fonction de hachage obsolète, publiée pour la première fois par la National Security Agency en 1995. Deuxièmement, stocker les mots de passe des utilisateurs dans un format haché sans« saler »le mot de passe va à l'encontre des méthodes conventionnelles de protection des données. à l'intégrité des données sensibles des utilisateurs. "

Le hachage de mot de passe est une forme de cryptage unidirectionnel. Un hachage de mot de passe est une représentation cryptographique unique d'un mot de passe en clair, mais contrairement au texte crypté généré avec une fonction de cryptage bidirectionnelle, les hachages ne sont pas destinés à être décryptés. Lorsque les utilisateurs se connectent et entrent leur mot de passe, le mot de passe est haché à la volée et le hachage résultant est comparé à celui déjà stocké dans la base de données de cet utilisateur.

Les anciennes fonctions de hachage SHA-1 sont rapides et efficaces. mais sont également vulnérables aux attaques par force brute. Pour cette raison, il est de pratique courante d'ajouter une chaîne unique et aléatoire à chaque mot de passe avant de le hacher. La plainte soutient que si Szpyrka et Gilmore-Wright savaient que LinkedIn avait utilisé un cryptage inférieur aux normes, ils n'auraient pas payé pour des comptes premium de LinkedIn qui coûtaient entre 19,95 $. et 99,95 $ par mois selon le type d'abonnement.

«Lors de l'inscription et de l'achat d'un compte« premium », les demandeurs et les membres de la classe s'appuyaient sur la déclaration de LinkedIn pour utiliser les protocoles et la technologie standard et la sécurité de leurs renseignements personnels en acceptant de créer un compte et de fournir leurs IPI à l'entreprise, "la plainte dit

La plainte soutient également que les frais mensuels payés par les demandeurs, ou une partie d'entre eux, ont été utilisés par LinkedIn de payer les coûts administratifs de la gestion et de la sécurité des données et donc de respecter sa promesse d'utiliser les protocoles et technologies de sécurité standard de l'industrie.

Actions en justice

Mardi, le tribunal a autorisé la requête de LinkedIn pour rejeter la plainte au motif que l'accord utilisateur et la politique de confidentialité de la société sont les mêmes pour les comptes gratuits que pour les comptes premium. à payer les titulaires de compte premium concernant les protocoles de sécurité a également été faite à des membres non-payants ", a déclaré le juge dans son ordre de rejeter la plainte. "Ainsi, quand un membre achète une mise à jour de compte premium, le marché n'est pas pour un niveau de sécurité particulier, mais en fait pour les outils de réseau avancés et les capacités pour faciliter une utilisation améliorée des services de LinkedIn. suffisamment démontrer que l'inclusion dans la négociation des demandeurs pour l'adhésion de la prime était la promesse d'un niveau de sécurité particulier (ou plus) qui ne faisait pas partie de la gratuité. "

En outre, le plaignant n'a même pas allégué qu'ils ont effectivement lu la politique de confidentialité, qui serait nécessaire pour soutenir une allégation de fausse déclaration au nom de LinkedIn.

Dans les plaidoiries, l'avocat des demandeurs a affirmé que la poursuite est principalement fondée sur une violation présumée du contrat, mais pour une telle revendication, les défendeurs devaient préciser les dommages résultant de cette prétendue violation du contrat. La blessure réclamée par les demandeurs s'est produite avant la prétendue rupture de contrat, au moment où les parties ont conclu le contrat pour la première fois, a déclaré le juge. Par conséquent, la perte économique qu'ils prétendent ne peut pas être le "dommage résultant" d'une prétendue rupture de contrat, a-t-il dit.

Dans les cas où le tort allégué découlait d'allégations de performance insuffisante des fonctions du produit, les tribunaux ont jugé que Alléguer "quelque chose de plus" que de simplement surpayer pour un produit défectueux, a déclaré le juge. "Parce que les plaignants contestent la façon dont LinkedIn a exécuté les services de sécurité, ils doivent alléguer" quelque chose de plus "que de simples préjudices économiques, ce qui pourrait être un préjudice causé par les services de sécurité et les failles de sécurité., tels que, par exemple, le vol de leurs informations personnellement identifiables. "