लिंक्डइन भारी पासवर्ड उल्लंघन के लिए क्षति की मांग करने वाले मुकदमे की बर्खास्तगी जीतता है

व्यावसायिक सोशल नेटवर्किंग सेवा लिंक्डइन ने उन प्रीमियम उपयोगकर्ताओं की ओर से नुकसान की मांग करने वाले मुकदमे की बर्खास्तगी जीती पिछले साल कंपनी के सर्वरों के सुरक्षा उल्लंघन के परिणामस्वरूप लॉग-इन पासवर्ड सामने आए।

हैकर्स ने अंडरग्राउंड फोरम पर लिंक्डइन खातों से संबंधित 6.5 मिलियन पासवर्ड हैश पोस्ट किए जाने के बाद जून 2012 की शुरुआत में प्रकाश उल्लंघन किया । बाद में 60 प्रतिशत से अधिक पासवर्ड हैंश को हैकर द्वारा क्रैक किया गया था।

लिंक्डइन के खिलाफ पहली शिकायत जून 15, 2012 को कैलिफ़ोर्निया के उत्तरी जिले के कैलिफ़ोर्निया के उत्तरी जिला न्यायालय में एक इलिनोइस निवासी द्वारा भुगतान की गई थी और लिंकडइन खाते का भुगतान किया गया था। केटी Szpyrka नाम के मालिक।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर हटाने के लिए कैसे]

शिकायत ने आरोप लगाया कि लिंक्डइन ने अपने ग्राहकों की सुरक्षा के लिए उद्योग मानक प्रोटोकॉल और प्रौद्योगिकी का उपयोग करने में विफल होने के द्वारा अपने स्वयं के उपयोगकर्ता समझौते और गोपनीयता नीति का उल्लंघन किया 'ईमेल पते, पासवर्ड और लॉग-इन क्रेडेंशियल्स सहित व्यक्तिगत रूप से पहचाने जाने योग्य जानकारी।

26 नवंबर, 2012 को स्ज़िप्र्का की तरफ से संशोधित शिकायत दर्ज की गई और वर्जीनिया से एक अन्य प्रीमियम लिंक्डइन उपयोगकर्ता खलीलाह गिलमोर-राइट नामक वर्ग प्रतिनिधियों के रूप में सभी लिंक्डइन उपयोगकर्ताओं के लिए जो उल्लंघन से प्रभावित थे। मुकदमे ने "निषेधात्मक और अन्य न्यायसंगत राहत" के साथ-साथ अभियुक्तों और वर्ग के सदस्यों के लिए पुनर्स्थापन और क्षति की मांग की।

शिकायत का विवरण

शिकायत ने आरोप लगाया कि लिंक्डइन उपयोगकर्ता डेटा को पर्याप्त रूप से सुरक्षित करने में विफल रहा क्योंकि यह संग्रहीत है अपने स्वयं के गोपनीयता नीति के बावजूद अतिरिक्त सुरक्षा के बिना एक कमजोर क्रिप्टोग्राफ़िक हैश फ़ंक्शन का उपयोग करते हुए पासवर्ड बताते हुए कि "आपके द्वारा प्रदान की जाने वाली व्यक्तिगत जानकारी उद्योग मानक प्रोटोकॉल और तकनीक के अनुसार सुरक्षित होगी।"

"इस अभ्यास के साथ समस्या दो गुना है, "शिकायत ने कहा। "सबसे पहले, एसएचए -1 एक पुराना हैशिंग फ़ंक्शन है, जिसे पहली बार 1 99 5 में राष्ट्रीय सुरक्षा एजेंसी द्वारा प्रकाशित किया गया था। दूसरा, उपयोगकर्ताओं के पासवर्ड को पहले 'सलाम' के बिना धोखा प्रारूप में संग्रहीत करना पारंपरिक डेटा संरक्षण विधियों से गुजरता है, और महत्वपूर्ण जोखिम बनता है उपयोगकर्ताओं के संवेदनशील डेटा की अखंडता के लिए। "

पासवर्ड हैशिंग एक तरफा एन्क्रिप्शन का एक रूप है। एक पासवर्ड हैश एक सादे टेक्स्ट पासवर्ड का एक अद्वितीय क्रिप्टोग्राफिक प्रतिनिधित्व है, लेकिन दो-तरफा एन्क्रिप्शन फ़ंक्शन के साथ उत्पन्न सिफरटेक्स्ट के विपरीत, हैश को डिक्रिप्ट करने के लिए नहीं है। जब उपयोगकर्ता लॉग इन करते हैं और अपना पासवर्ड इनपुट करते हैं, तो पासवर्ड फ्लाई पर धोया जाता है, और परिणामी हैश उस उपयोगकर्ता के लिए पहले से ही डेटाबेस में संग्रहीत एक के खिलाफ मेल खाता है।

पुराने हैश फ़ंक्शन SHA-1 जैसे तेज़ और कुशल हैं, लेकिन ब्रूट फोर्स हमलों के लिए भी कमजोर हैं। इस वजह से, यह हैशिंग से पहले प्रत्येक पासवर्ड के लिए एक अद्वितीय और यादृच्छिक स्ट्रिंग को जोड़ना आम बात है। इसे 'नमकीन' के रूप में जाना जाता है और पासवर्ड हैश क्रैकिंग को और अधिक कठिन बना देता है।

शिकायत ने कहा कि अगर स्प्पीर्का और गिलमोर-राइट को पता था कि लिंक्डइन ने घटिया एन्क्रिप्शन का इस्तेमाल किया है तो वे प्रीमियम लिंक्डइन खातों के लिए भुगतान नहीं करते थे, जो $ 19.95 के बीच खर्च करते थे और सदस्यता प्रकार के आधार पर $ 99.95 प्रति माह।

"जब 'प्रीमियम' खाते के लिए साइन अप और खरीदते समय, अभियोगी और वर्ग के सदस्यों ने लिंक्डइन के प्रतिनिधित्व पर भरोसा किया कि यह अखंडता को संरक्षित करने के लिए 'उद्योग मानक प्रोटोकॉल और प्रौद्योगिकी' का उपयोग करता है और एक खाता बनाने और कंपनी को अपनी पीआईआई प्रदान करने के लिए सहमत होने में उनकी व्यक्तिगत जानकारी की सुरक्षा, "शिकायत ने कहा

शिकायत ने यह भी तर्क दिया कि अभियोगी द्वारा भुगतान की गई मासिक शुल्क, या उनमें से एक हिस्सा, लिंक्डइन द्वारा उपयोग किया गया था डेटा प्रबंधन और सुरक्षा की प्रशासनिक लागत का भुगतान करने के लिए और इसलिए उद्योग मानक सुरक्षा प्रोटोकॉल और प्रौद्योगिकी का उपयोग करने के अपने वादे का पालन करें।

अदालत के कार्यों

मंगलवार को, अदालत ने इस आधार पर शिकायत को खारिज करने के लिए लिंक्डइन की गति प्रदान की कि कंपनी के उपयोगकर्ता अनुबंध और गोपनीयता नीति प्रीमियम खातों के लिए मुफ्त खातों के लिए समान है।

"किसी भी कथित वादे लिंक्डइन न्यायाधीश ने गैर-भुगतान करने वाले सदस्यों को सुरक्षा प्रोटोकॉल के संबंध में प्रीमियम खाता धारकों का भुगतान करने के लिए भी मुकदमा दायर करने के आदेश में कहा। "इस प्रकार, जब कोई सदस्य प्रीमियम खाता अपग्रेड खरीदता है, तो सौदेबाजी किसी विशेष स्तर की सुरक्षा के लिए नहीं होती है, बल्कि वास्तव में उन्नत नेटवर्किंग टूल और क्षमताओं के लिए लिंक्डइन की सेवाओं के बढ़ते उपयोग की सुविधा प्रदान करती है। एफएसी [प्रथम संशोधित समेकित शिकायत] नहीं है पर्याप्त रूप से प्रदर्शित करते हैं कि प्रीमियम सदस्यता के लिए अभियोगी के सौदा में शामिल एक विशेष (या अधिक) सुरक्षा का वादा था जो मुफ्त सदस्यता का हिस्सा नहीं था। "

इसके अलावा, न्यायाधीश ने कहा, अभियोगी भी आरोप नहीं लगाते कि वे वास्तव में गोपनीयता नीति को पढ़ते हैं, जिसे लिंक्डइन की ओर से गलतफहमी के दावे का समर्थन करने की आवश्यकता होगी।

मौखिक तर्कों में, अभियोगी के वकील ने जोर देकर कहा कि मुकदमा मुख्य रूप से अनुबंध के कथित उल्लंघन पर आधारित है, लेकिन इसके लिए खड़े होने का दावा, प्रतिवादी को अनुबंध के इस कथित उल्लंघन से होने वाली क्षति निर्दिष्ट करने की आवश्यकता है। न्यायाधीश ने कहा कि अभियुक्तों द्वारा दावा की गई चोट अनुबंध के कथित उल्लंघन से पहले हुई थी, उस समय जब पार्टियां अनुबंध में प्रवेश करती थीं। इसलिए वे जो आर्थिक नुकसान दावा करते हैं वह अनुबंध के कथित उल्लंघन से "परिणामी क्षति" नहीं हो सकता है।

ऐसे मामलों में जहां कथित गलत उत्पाद के कार्यों के अपर्याप्त प्रदर्शन के आरोपों से निकलती है, अदालतों ने फैसला दिया है कि अभियोगी को न्यायाधीश ने कहा कि एक दोषपूर्ण उत्पाद के लिए सिर्फ अधिक भुगतान करने की तुलना में "कुछ और" का आरोप है। "क्योंकि अभियोगी इस तरह से समस्या उठाते हैं जिसमें लिंक्डइन ने सुरक्षा सेवाओं का प्रदर्शन किया है, उन्हें शुद्ध आर्थिक नुकसान से 'कुछ और' का आरोप लगाना चाहिए। यह कुछ और नुकसान हो सकता है जो कम सुरक्षा सेवाओं और सुरक्षा उल्लंघन के परिणामस्वरूप हुआ, उदाहरण के लिए, उनकी व्यक्तिगत पहचान योग्य जानकारी की चोरी। "