LinkedIn은 방대한 암호 위반에 대한 손해 배상 청구 소송에서 승리합니다.

전문 소셜 네트워킹 서비스 LinkedIn은 프리미엄 사용자를 대신하여 손해 배상을 청구하는 소송에서이긴 작년에 회사 서버의 보안 위반으로 인해 노출 된 로그인 암호.

해커가 지하 포럼에서 LinkedIn 계정에 해당하는 650 만 암호 해시를 게시 한 후 2012 년 6 월 초에 데이터 유출이 나타났습니다.. 그 암호 해시 중 60 % 이상이 해커에 의해 나중에 해킹되었습니다.

LinkedIn에 대한 첫 번째 불만 사항은 2012 년 6 월 15 일 일리노이 주민이 캘리포니아 북부 지방 법원에 제출하고 LinkedIn 계정

[추가 정보: Windows PC에서 악성 코드 제거 방법]

LinkedIn은 업계 표준 프로토콜 및 기술을 사용하여 고객 보호에 실패하여 자체 사용자 계약 및 개인 정보 보호 정책을 위반했다고 주장했습니다. '이메일 주소, 비밀번호 및 로그인 자격 증명을 포함하는 개인 식별 정보

Szpyrka를 대신하여 2012 년 11 월 26 일 및 Khalilah Gilmore-Wright라는 버지니아 프리미엄 LinkedIn 사용자를 대신하여 클래스 대표로 수정 된 신고가 접수되었습니다. 위반으로 인해 영향을받은 모든 LinkedIn 사용자에 대해 소송에 대한 세부 사항

불만 사항은 LinkedIn이 저장된 사용자 데이터를 적절히 보호하지 못했다고 주장한 바 있습니다.이 소송은 "금지 명령 및 기타 공평한 구제"와 원고 및 회원들에 대한 배상 및 손해 배상을 요구했습니다. "사용자가 제공하는 개인 정보가 산업 표준 프로토콜 및 기술에 따라 보호 될 것임을 명시하는 자체 개인 정보 보호 정책에도 불구하고 약한 암호화 해시 기능을 사용하여 암호를 추가로 보호합니다."

"이 방법의 문제점은 두 가지로, 고 밝혔다. "첫째, SHA-1은 1995 년 국가 안보국 (National Security Agency)에서 최초로 발행 한 구식 해시 기능입니다. 둘째, 암호를 먼저 '소금 화'하지 않고 사용자의 암호를 해시 형식으로 저장하면 기존의 데이터 보호 방법에 위배되며 상당한 위험이 따릅니다. 사용자의 민감한 데이터의 무결성에 이르기까지. "

암호 해싱은 단방향 암호화의 한 형태입니다. 암호 해시는 일반 텍스트 암호의 고유 한 암호 표현이지만 양방향 암호화 기능을 사용하여 생성 된 암호문과 달리 해시는 해독되지 않습니다. 사용자가 로그인하여 암호를 입력하면 암호는 즉시 해시되고 해시 결과는 해당 사용자의 데이터베이스에 이미 저장되어있는 암호와 일치합니다.

SHA-1과 같은 이전 버전의 해시 함수는 빠르고 효율적이며, 무차별 공격에 취약합니다. 이 때문에 해싱하기 전에 각 암호에 고유하고 임의의 문자열을 추가하는 것이 일반적입니다. 로 알려져 있으며 암호 해쉬 크래킹을 훨씬 어렵게 만듭니다.

Szpyrka와 Gilmore-Wright가 LinkedIn이 표준 이하 암호화를 사용했다면 프리미엄 LinkedIn 계정에 지불하지 않았을 것이라는 불만이 계속 제기되었습니다. "구독료 유형에 따라 월 $ 99.95"프리미엄 계정에 가입하고 구매할 때 원고 및 클래스 회원은 LinkedIn의 표현에 따라 '업계 표준 프로토콜 및 기술'을 사용하여 무결성을 유지합니다 개인 정보의 보안을 고려하여 계정을 만들고 PII를 회사에 제공하는 것에 동의했다 "고 주장했다.이 소송은 또한 원고 나 그 일부가 지불 한 월 사용료가 LinkedIn에서 사용되었다고 주장했다. 데이터 관리 및 보안의 관리 비용을 지불하고 산업 표준 보안 프로토콜 및 기술을 사용할 것이라는 약속을 준수해야합니다.

법원의 조치

화요일, 법원은 프리미엄 계좌와 마찬가지로 회사의 사용자 계약 및 개인 정보 보호 정책이 무료 계정에서도 동일하다는 이유로 LinkedIn의 고소를 기각 한 바 있습니다.

"LinkedIn 판사는 소송을 기각하라는 명령으로 보안 요원과 관련해 프리미엄 계좌를 소지 한 사람에 대해서도 지불했다. "따라서 회원이 프리미엄 계정 업그레이드를 구매하면 특정 보안 수준이 아니라 고급 네트워킹 도구와 기능을 사용하여 LinkedIn 서비스의 사용을 촉진 할 수 있습니다 FAC [First Amended Consolidated Complaint] 원고 측이 프리미엄 회원 자격을 부여하는 것이 자유 회원국의 일부가 아닌 특정 (또는 그보다) 수준의 안보 보장이 있음을 충분히 입증했다. "또한 판사는 원고 측에서는 LinkedIn을 대신하여 허위 진술의 주장을 뒷받침하는 데 필요한 개인 정보 보호 정책을 실제로 읽었습니다.

구두 주장에서 원고의 변호인은 소송이 주로 계약 위반을 근거로한다고 주장했지만 그러한 주장을 뒷받침 할 때, 피고들은이 계약 위반으로 인한 손해를 명기해야했습니다. 원고가 제기 한 손해 배상 청구는 당사자가 계약을 맺을 당시 혐의가있는 계약 위반 이전에 발생했다고 판사는 말했다. 따라서 그가 주장하는 경제적 손실은 계약 위반 혐의로 인한 "결과적인 손해"가 될 수 없다고 그는 말했다.

제품 기능의 수행 능력이 충분치 않다는 혐의로 인해 혐의가 제기 된 경우, 원고는 판사는 결함이있는 제품에 대한 과다 지불보다 "뭔가 더 많은 것"이라고 주장했다. "원고가 LinkedIn이 보안 서비스를 수행하는 방식에 문제가 있으므로 순수한 경제적 손해보다 '더 많은 것을'주장해야합니다.이 '무언가 더'는 보안 서비스 및 보안 침해가 예를 들면 그들의 개인 식별 정보 도용과 같은 "