Жінка зі штату Іллінойс подає колективний позов проти LinkedIn, стверджуючи, що порушення її власної політики конфіденційності та угод користувачів дозволило хакерам викрасти 6,46 мільйона паролів.
Оновлено 20 червня 2012 року о 15:04 за тихоокеанським стандартним часом з коментарем від LinkedIn
Жінка зі штату Іллінойс, яка стверджує, що LinkedIn порушив її власну угоду користувача та політику конфіденційності, очолює колективний позов проти сайту бізнес-мережі у зв’язку з нещодавньою втратою хакерами особистих даних.
Кеті Спирка, зареєстрований власник облікового запису LinkedIn з 2010 року, стверджує, що компанія «не змогла належним чином захистити свої особиста інформація користувачів, яка зберігається в цифровому вигляді, включаючи адреси електронної пошти, паролі та дані для входу облікові дані».
Спирка, хто подав позов до окружного суду штату Північний округ Каліфорнії, вимагає суду присяжних за такими підставами, як порушення контракту та недбалість.
Вона каже, що серед користувачів групи колективних позовів є фізичні та юридичні особи в Сполучених Штатах які мали обліковий запис LinkedIn до 6 червня 2012 р., включно з тими, хто заплатив за оновлення рахунок.
Два тижні тому LinkedIn повідомив, що російські хакери вкрали майже 6,5 мільйонів паролів. Користувачів, які схильні повторно використовувати паролі на різних веб-сайтах, закликали змінити свої паролі. Оскільки кількість користувачів LinkedIn перевищує 150 мільйонів, до крадіжки паролів було залучено менше 5% бази користувачів LinkedIn.
«У результаті інциденту не було зламано жодного облікового запису учасника, і у нас немає підстав вважати, що хтось із учасників LinkedIn постраждав», — сказала Ерін. О'Харра, спеціаліст зв'язків з громадськістю LinkedIn. «Отже, схоже, що ці погрози створені адвокатами, які хочуть скористатися цим ситуації. Ми вважаємо, що ці претензії безпідставні, і ми будемо рішуче захищати компанію від позовів, які намагаються використати злочинну поведінку третіх сторін».
У позові Шпирка, який платить 26,95 доларів на місяць за платний обліковий запис LinkedIn, говорить про конфіденційність LinkedIn. політика обіцяє користувачам, що вся інформація, яку вони надають, буде захищена галузевими стандартами та технології.
Вона каже, що LinkedIn не дотримується основних галузевих стандартів, використовуючи слабкий формат шифрування. Компанія мала зашифровані паролі за допомогою алгоритму SHA-1, але, на думку експертів, той факт, що компанія знехтував «підсолити» хеш послабив безпеку.
У позові зокрема вказується, що LinkedIn не зміг підсолювати паролі перед їх збереженням. Сіль додає розмір хешу, що ускладнює розкриття захищених даних.
У позові також посилаються на попередні повідомлення про те, що хакери використовували атаку SQL-ін’єкції, яка дозволяє хакерам отримати доступ до баз даних через веб-сайт.
Атаки SQL-ін’єкції були однією з найпоширеніших форм атак, починаючи з 2007 року. Перші атаки датуються 2005 роком. У позові цитуються контрольні списки Національного інституту стандартів і технологій як загальні рекомендації щодо уникнення атак SQL-ін’єкцій.
У позові також звинувачують LinkedIn у тому, що вона не оприлюднила атаку, і стверджує, що про це стало відомо лише після того, як про це оголосили треті сторони. У позові стверджується, що пізніше компанія визнала, що «не обробляла дані користувачів відповідно до найкращих практик».
У позові стверджується, що збитки перевищують 5 мільйонів доларів.
Дивись також:
- Реакція LinkedIn на злам пароля викликає тривожні запитання
- Facebook посилює безпеку мобільних пристроїв після злому LinkedIn
- У сумному світі паролів ми поглинули не той фільм