LinkedIn vira pedido de indenização por violação maciça de senha

Serviço profissional de rede social O LinkedIn ganhou a ação de pedido de indenização em nome de usuários premium que tiveram senhas de login expostas como resultado de uma violação de segurança dos servidores da empresa no ano passado

A violação de dados veio à tona no início de junho de 2012, após hackers postarem 6.5 milhões de hashes de senha correspondentes a contas do LinkedIn em um fórum clandestino. Mais de 60% desses hashes de senhas foram posteriormente atacados por hackers.

A primeira queixa contra o LinkedIn foi registrada em 15 de junho de 2012 no Tribunal Distrital do Distrito Norte da Califórnia por uma conta do LinkedIn paga por LinkedIn proprietária chamada Katie Szpyrka.

[Leia mais: Como remover malware do seu PC Windows]

A denúncia alegou que o LinkedIn violou seu próprio Contrato de Usuário e Política de Privacidade ao não utilizar protocolos e tecnologia padrão da indústria para proteger seus clientes 'informações pessoalmente identificáveis, incluindo endereços de e-mail, senhas e credenciais de login.

Uma queixa alterada foi arquivada em 26 de novembro de 2012 em nome de Szpyrka e outro usuário premium da Virgínia chamado Khalilah Gilmore-Wright, como representantes de classe para todos os usuários do LinkedIn que foram afetados pela violação. O processo buscava "medidas liminares e outras medidas justificáveis", bem como restituição e danos aos autores e membros da classe.

Detalhes da denúncia

A denúncia alegava que o LinkedIn não protegia adequadamente os dados do usuário porque armazenava senhas usando uma função hash criptográfica fraca sem proteção adicional, apesar de sua própria Política de Privacidade declarando que "as informações pessoais fornecidas por você serão protegidas de acordo com os protocolos e tecnologia padrão da indústria".

"O problema com essa prática é duplo. "a queixa disse. "Primeiro, o SHA-1 é uma função de hash desatualizada, publicada pela National Security Agency em 1995. Em segundo lugar, armazenar senhas de usuários em formato hash sem primeiro" salgar "a senha entra em conflito com os métodos convencionais de proteção de dados e apresenta riscos significativos à integridade dos dados confidenciais dos usuários. "

O hash de senha é uma forma de criptografia unidirecional. Um hash de senha é uma representação criptográfica exclusiva de uma senha de texto sem formatação, mas, diferente do texto cifrado gerado com uma função de criptografia bidirecional, os hashes não devem ser descriptografados. Quando os usuários efetuam login e inserem sua senha, a senha é hash em tempo real e o hash resultante é comparado com o que já está armazenado no banco de dados para esse usuário.

Funções hash mais antigas como SHA-1 são rápidas e eficientes, mas também são vulneráveis ​​a ataques de força bruta. Por causa disso, é uma prática comum acrescentar uma string única e aleatória a cada senha antes de codificá-la. Isso é conhecido como 'salgando' e torna o hash de senha muito mais difícil.

A denúncia afirmava que se Szpyrka e Gilmore-Wright soubessem que o LinkedIn usava criptografia abaixo do padrão, não pagariam contas premium do LinkedIn, que custam entre 19,95 dólares e US $ 99,95 por mês, dependendo do tipo de assinatura.

"Ao se inscrever e comprar uma conta 'premium', os Autores e os membros da Classe confiaram na representação do LinkedIn de usar 'protocolos e tecnologia padrão do setor' para preservar a integridade e a segurança de suas informações pessoais ao concordar em criar uma conta e fornecer suas IPI à empresa ", a reclamação dizia

A reclamação também argumentou que as taxas mensais pagas pelos autores, ou parte delas, eram usadas pelo LinkedIn para pagar os custos administrativos de gerenciamento e segurança de dados e, portanto, cumprir sua promessa de usar protocolos e tecnologia de segurança padrão do setor.

Ações do tribunal

Na terça-feira, o tribunal concedeu a moção do LinkedIn para rejeitar a queixa, alegando que o Contrato de Usuário e a Política de Privacidade da empresa são os mesmos para contas gratuitas.

para pagar os titulares de conta premium em relação aos protocolos de segurança também foi feito aos membros não-pagantes ", disse o juiz em sua decisão de arquivar o processo. "Assim, quando um membro adquire uma atualização de conta premium, a barganha não é para um nível particular de segurança, mas para as ferramentas e recursos avançados de rede para facilitar o uso aprimorado dos serviços do LinkedIn. A FAC [First Amended Consolided Complaint] não demonstrar suficientemente que incluído na barganha dos Requerentes para adesão ao prêmio era a promessa de um nível particular (ou maior) de segurança que não fazia parte da associação livre. "

Além disso, o juiz disse, os queixosos nem sequer alegam

Em argumentos orais, o advogado dos queixosos afirmou que a ação se baseia principalmente em uma suposta quebra de contrato, mas por tal reivindicação, os acusados ​​precisavam especificar os danos resultantes dessa suposta quebra de contrato. A lesão alegada pelos demandantes ocorreu antes da suposta quebra de contrato, no momento em que as partes entraram em contrato pela primeira vez, disse o juiz. Portanto, a perda econômica que alegam não pode ser "danos resultantes" de uma suposta quebra de contrato, disse ele.

Nos casos em que o suposto erro resultou de alegações de desempenho insuficiente das funções de um produto, os tribunais determinaram que os autores precisam alegam "algo mais" do que apenas pagar por um produto defeituoso, disse o juiz. "Como os Queixosos questionam o modo como o LinkedIn executou os serviços de segurança, eles devem alegar" algo mais "do que puro dano econômico. Esse" algo mais "pode ​​ser um dano que ocorreu como resultado dos serviços de segurança e violação de segurança deficientes., como, por exemplo, o roubo de suas informações pessoalmente identificáveis. "