การละเมิดข้อมูลได้เริ่มต้นขึ้นในช่วงต้นเดือนมิถุนายน 2012 หลังจากแฮกเกอร์ได้โพสต์รหัสผ่าน 6.5 ล้านรหัสซึ่งสอดคล้องกับบัญชี LinkedIn ในฟอรัมใต้ดิน . มากกว่าร้อยละ 60 ของรหัสผ่านที่ถูกแฮ็กเกอร์แตกในภายหลัง

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows ของคุณ]

การร้องเรียนกล่าวหาว่า LinkedIn ละเมิดข้อตกลงผู้ใช้และนโยบายความเป็นส่วนตัวของตนเองโดยไม่ใช้โปรโตคอลและเทคโนโลยีมาตรฐานอุตสาหกรรมเพื่อปกป้องลูกค้า ข้อมูลการระบุตัวบุคคลรวมถึงที่อยู่อีเมลรหัสผ่านและข้อมูลรับรองการเข้าสู่ระบบ

การร้องเรียนที่แก้ไขแล้วได้ยื่นเมื่อวันที่ 26 พฤศจิกายน 2012 ในนามของ Szpyrka และผู้ใช้ LinkedIn ระดับพรีเมี่ยมจาก Virginia ชื่อ Khalilah Gilmore-Wright ในฐานะผู้แทนระดับ สำหรับผู้ใช้ LinkedIn ทั้งหมดที่ได้รับผลกระทบจากการละเมิด คดีถูกเรียกร้องให้มีการฟ้องร้องและชดใช้ค่าชดเชยแก่โจทก์และสมาชิกในชั้นเรียน

รายละเอียดของการร้องเรียน

การร้องเรียนกล่าวหาว่า LinkedIn ไม่สามารถปกป้องข้อมูลของผู้ใช้ได้อย่างเพียงพอเพราะถูกเก็บไว้ "ข้อมูลส่วนบุคคลที่คุณให้จะได้รับการรักษาความปลอดภัยตามโปรโตคอลและเทคโนโลยีมาตรฐานอุตสาหกรรม"

"ปัญหาเกี่ยวกับการปฏิบัตินี้เป็นสองเท่า, "ร้องเรียนกล่าวว่า "ครั้งแรก SHA-1 เป็นฟังก์ชันแฮชที่ล้าสมัยซึ่งจัดพิมพ์ครั้งแรกโดยสำนักงานความมั่นคงแห่งชาติเมื่อปีพ. ศ. 2538 ประการที่สองการจัดเก็บรหัสผ่านของผู้ใช้ในรูปแบบแฮชโดยไม่ต้องใช้รหัสผ่านก่อนจะทำให้เกิดปัญหากับวิธีการป้องกันข้อมูลทั่วไปและก่อให้เกิดความเสี่ยงอย่างมาก เพื่อความถูกต้องของข้อมูลที่สำคัญของผู้ใช้ "

การใช้รหัสผ่านคือรูปแบบหนึ่งของการเข้ารหัส แฮชของรหัสผ่านคือการแสดงการเข้ารหัสลับแบบไม่ซ้ำกันของรหัสผ่านแบบข้อความธรรมดา แต่ไม่เหมือนข้อความที่สร้างขึ้นด้วยฟังก์ชันการเข้ารหัสแบบสองทางการเข้ารหัสไม่ได้หมายถึงการถอดรหัส เมื่อผู้ใช้ล็อกอินและใส่รหัสผ่านรหัสผ่านจะถูกแฮชในทันทีและแฮชที่เป็นผลลัพธ์จะจับคู่กับรหัสที่จัดเก็บไว้ในฐานข้อมูลสำหรับผู้ใช้นั้น

ฟังก์ชันกัญชาที่เก่ากว่าเช่น SHA-1 มีความรวดเร็วและมีประสิทธิภาพ แต่ยังมีความเสี่ยงต่อการโจมตีด้วยกำลังเดรัจฉาน ด้วยเหตุนี้การปฏิบัติตามขั้นตอนต่อท้ายสตริงที่ไม่ซ้ำและแบบสุ่มแต่ละรหัสผ่านก่อนที่จะแฮชชิ่ง นี่เป็นที่รู้จักกันในชื่อ 'salting' และทำให้ hash crack ยุ่งยากมากขึ้น

การร้องเรียนยังยืนยันว่าหาก Szpyrka และ Gilmore-Wright รู้ว่า LinkedIn ใช้การเข้ารหัสที่ไม่ได้มาตรฐานพวกเขาจะไม่ได้จ่ายค่าเบี้ยประกันภัยบัญชี LinkedIn ซึ่งมีค่าใช้จ่ายระหว่าง $ 19.95 และ 99.95 เหรียญต่อเดือนขึ้นอยู่กับประเภทการสมัครสมาชิก

"เมื่อลงทะเบียนและซื้อบัญชี 'premium' โจทก์และสมาชิกของ Class อาศัยการเป็นตัวแทนของ LinkedIn ว่าใช้ 'โปรโตคอลและเทคโนโลยีมาตรฐานอุตสาหกรรม' เพื่อรักษาความสมบูรณ์ และการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของพวกเขาในการตกลงที่จะสร้างบัญชีและให้ข้อมูล PII ของพวกเขาให้กับ บริษัท "การร้องเรียนกล่าวว่า

การร้องเรียนยังแย้งว่าค่าใช้จ่ายรายเดือนที่จ่ายโดยโจทก์หรือบางส่วนของพวกเขาถูกใช้โดย LinkedIn เพื่อจ่ายค่าใช้จ่ายในการบริหารจัดการข้อมูลและการรักษาความปลอดภัยและสอดคล้องกับคำมั่นสัญญาในการใช้โปรโตคอลและเทคโนโลยีด้านความปลอดภัยมาตรฐานอุตสาหกรรม

การกระทำของศาล

ในวันอังคารศาลได้ให้ความเห็นชอบในการยกเลิกการร้องเรียนจาก LinkedIn โดยระบุว่าข้อตกลงผู้ใช้และนโยบายความเป็นส่วนตัวของ บริษัท จะเหมือนกันสำหรับบัญชีฟรีเช่นเดียวกับบัญชีพรีเมียม

การจ่ายเงินให้ผู้ถือบัญชีพรีเมี่ยมเกี่ยวกับโปรโตคอลการรักษาความปลอดภัยได้ทำไปยังสมาชิกที่ไม่ต้องจ่ายเงิน "ผู้พิพากษากล่าวว่าในคำสั่งของเขาที่จะยกเลิกคดี "ดังนั้นเมื่อสมาชิกซื้อการอัพเกรดบัญชีพิเศษการต่อรองไม่ได้สำหรับระดับการรักษาความปลอดภัยโดยเฉพาะอย่างยิ่ง แต่สำหรับเครื่องมือและความสามารถขั้นสูงของเครือข่ายเพื่ออำนวยความสะดวกในการใช้บริการของ LinkedIn ที่เพิ่มขึ้น FAC [First Amended Consolidated Complaint] ไม่ (หรือมากกว่า) ระดับของการรักษาความปลอดภัยที่ไม่ได้เป็นส่วนหนึ่งของสมาชิกฟรี "

นอกจากนี้ผู้พิพากษากล่าวว่าโจทก์ไม่ได้กล่าวหาแม้ ที่จริงพวกเขาอ่านนโยบายความเป็นส่วนตัวซึ่งจะต้องสนับสนุนการเรียกร้องการบิดเบือนความจริงในนามของ LinkedIn

ในข้อโต้แย้งปากคำปรึกษาของโจทก์ยืนยันว่าคดีเป็นหลักขึ้นอยู่กับข้อกล่าวหาการละเมิดสัญญา แต่สำหรับ เช่นการเรียกร้องที่จะยืนจำเลยต้องระบุความเสียหายที่เกิดจากการที่ถูกกล่าวหาว่าละเมิดสัญญานี้ การบาดเจ็บที่โจทก์อ้างว่าเกิดขึ้นก่อนที่จะถูกกล่าวหาว่าละเมิดสัญญาในขณะที่คู่สัญญาทั้งสองฝ่ายทำสัญญาครั้งแรก ดังนั้นการสูญเสียทางเศรษฐกิจที่พวกเขาเรียกร้องไม่สามารถเป็น "ความเสียหายที่เกิดขึ้น" จากข้อกล่าวหาการฝ่าฝืนสัญญาเขากล่าวว่า

ในกรณีที่ข้อกล่าวหาผิดเกิดจากข้อกล่าวหาเกี่ยวกับประสิทธิภาพการทำงานของผลิตภัณฑ์ไม่เพียงพอศาลตัดสินว่าโจทก์จำเป็นต้อง กล่าวหาว่า "อะไรบางอย่าง" มากกว่าการจ่ายเงินเกินราคาสำหรับสินค้าที่บกพร่องผู้พิพากษากล่าว "เนื่องจากโจทก์มีปัญหากับวิธีการที่ LinkedIn ดำเนินการให้บริการด้านความปลอดภัยพวกเขาต้องกล่าวหาว่า" อะไรบางอย่าง "มากกว่าความเสียหายทางเศรษฐกิจที่บริสุทธิ์" สิ่งอื่น ๆ "อาจเป็นอันตรายที่เกิดขึ้นอันเป็นผลมาจากการให้บริการรักษาความปลอดภัยที่ไม่เพียงพอและการละเมิดความปลอดภัย เช่นการโจรกรรมข้อมูลที่สามารถระบุถึงตัวบุคคลได้ "