Wie man über LinkedIn mehr Kundenanfragen generiert [Interview mit Alex Schad]
Inhaltsverzeichnis:
Professioneller Social-Networking-Service LinkedIn gewann die Abweisung einer Klage auf Schadensersatz im Namen von Premium-Nutzern, die ihre hatten Login-Passwörter, die als Ergebnis einer Sicherheitsverletzung der Server des Unternehmens im letzten Jahr aufgedeckt wurden.
Die Datenverletzung kam Anfang Juni 2012 ans Licht, nachdem Hacker 6,5 Millionen Passwort-Hashes entsprechend den LinkedIn-Accounts in einem Untergrundforum veröffentlicht hatten. Mehr als 60 Prozent dieser Passwort-Hashes wurden später von Hackern geknackt.
Die erste Beschwerde gegen LinkedIn wurde am 15. Juni 2012 beim US-Bezirksgericht für den Northern District of California von einem in Illinois ansässigen und bezahlten LinkedIn-Konto eingereicht Besitzer namens Katie Szpyrka.
[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]Die Beschwerde behauptete, dass LinkedIn gegen seine eigene Benutzervereinbarung und Datenschutzrichtlinie verstoßen habe, indem es Industriestandardprotokolle und -technologien zum Schutz seiner Kunden missbraucht habe "persönlich identifizierbare Informationen, einschließlich E-Mail-Adressen, Passwörter und Anmeldedaten.
Eine geänderte Beschwerde wurde am 26. November 2012 im Namen von Szpyrka und einem weiteren Premium-LinkedIn-Nutzer aus Virginia namens Khalilah Gilmore-Wright als Klassensprecher eingereicht für alle LinkedIn-Nutzer, die von der Verletzung betroffen waren. Die Klage lautete auf "einstweilige und andere Billigkeitsbefreiung" sowie Wiedergutmachung und Schadenersatz für die Kläger und Mitglieder der Klasse.
Details der Beschwerde
Die Beschwerde behauptete, dass LinkedIn die Nutzerdaten nicht angemessen schützen konnte, weil sie gespeichert wurden Passwörter mit einer schwachen kryptografischen Hash-Funktion ohne zusätzlichen Schutz, trotz seiner eigenen Datenschutzrichtlinie, die besagt, dass "persönliche Informationen, die Sie zur Verfügung stellen, gemäß Industriestandard-Protokollen und -Technologien gesichert werden."
"Das Problem mit dieser Praxis ist zweifach, "Die Beschwerde sagte. "Erstens ist SHA-1 eine veraltete Hashing-Funktion, die erstmals 1995 von der National Security Agency veröffentlicht wurde. Zweitens läuft die Speicherung von Benutzerpasswörtern im Hash-Format ohne vorheriges" Einsalzen "des Passworts mit herkömmlichen Datenschutzmethoden zusammen und birgt erhebliche Risiken zur Integrität der sensiblen Daten der Benutzer. "
Password Hashing ist eine Form der Einwegverschlüsselung. Ein Kennwort-Hash ist eine eindeutige kryptografische Darstellung eines Klartext-Kennworts, aber im Gegensatz zu Chiffretext, der mit einer Zwei-Wege-Verschlüsselungsfunktion generiert wird, sind Hashes nicht dazu gedacht, entschlüsselt zu werden. Wenn sich Benutzer anmelden und ihr Passwort eingeben, wird das Passwort im Handumdrehen gehackt und der resultierende Hash wird mit dem bereits in der Datenbank für diesen Benutzer gespeicherten verglichen.
Ältere Hash-Funktionen wie SHA-1 sind schnell und effizient, sind aber auch anfällig für Brute-Force-Angriffe. Aus diesem Grund ist es üblich, vor dem Hashing jedes Passwort mit einer eindeutigen und zufälligen Zeichenfolge zu versehen. Dies wird als "Salzen" bezeichnet und erschwert das Hash-Cracken von Passwörtern.
Die Beschwerde behauptete, dass, wenn Szpyrka und Gilmore-Wright gewusst hätten, dass LinkedIn Substandard-Verschlüsselung verwendet, sie keine Premium-LinkedIn-Konten bezahlt hätten, die zwischen $ 19,95 kosten und $ 99.95 pro Monat, abhängig von der Art des Abonnements.
"Bei der Anmeldung und beim Kauf eines" Premium "-Kontos setzten die Kläger und die Mitglieder der Klasse auf die Darstellung von LinkedIn, dass sie" Industriestandardprotokolle und -technologien "verwendet, um die Integrität zu wahren und die Sicherheit ihrer persönlichen Daten bei der Vereinbarung, ein Konto zu erstellen und ihre PII dem Unternehmen zur Verfügung zu stellen ", sagte die Beschwerde
Die Beschwerde argumentierte auch, dass die monatlichen Gebühren von den Klägern oder ein Teil von ihnen von LinkedIn verwendet wurden die Verwaltungskosten für die Datenverwaltung und -sicherheit zu tragen und daher sein Versprechen zu erfüllen, Industriestandard-Sicherheitsprotokolle und -technologien zu verwenden.
Gerichtsverfahren
Am Dienstag hat das Gericht dem Antrag von LinkedIn stattgegeben, die Beschwerde abzulehnen, da die Benutzervereinbarung und die Datenschutzrichtlinie des Unternehmens für Gratiskonten dieselben seien wie für Prämienkonten.
"Alle angeblichen Versprechen, die LinkedIn gemacht hat die Zahlung von Premium-Kontoinhabern in Bezug auf Sicherheitsprotokolle wurde auch an nicht zahlende Mitglieder vorgenommen ", sagte der Richter in seiner Verfügung, die Klage abzuweisen. "Wenn ein Mitglied ein Premium-Konto-Upgrade erwirbt, geht es nicht um ein bestimmtes Sicherheitsniveau, sondern um die fortgeschrittenen Netzwerk-Tools und -Funktionen, die eine verbesserte Nutzung der LinkedIn-Dienste ermöglichen. Die FAC [First Amended Consolidated Complaint] nicht hinreichend zeigen, dass das Angebot der Kläger für die Premiummitgliedschaft das Versprechen einer bestimmten (oder höheren) Sicherheitsstufe war, die nicht Teil der freien Mitgliedschaft war. "
Außerdem sagte der Richter, die Kläger behaupten nicht einmal dass sie tatsächlich die Datenschutzerklärung gelesen haben, die erforderlich wäre, um eine Behauptung von Falschdarstellungen im Namen von LinkedIn zu stützen.
In mündlichen Ausführungen machte der Anwalt der Kläger geltend, dass die Klage in erster Linie auf einer angeblichen Vertragsverletzung beruht, aber für Deutsch: www.germnews.de/archive/gn/1995/02/15.html. Englisch: www.germnews.de/archive/dn/1995/02/11.html Bei einem solchen Anspruch mussten die Beklagten den Schaden aus dieser angeblichen Vertragsverletzung angeben. Die von den Klägern geltend gemachte Verletzung ereignete sich vor der angeblichen Vertragsverletzung zu dem Zeitpunkt, als die Parteien den Vertrag erstmals eintrugen, sagte der Richter. Daher könne der wirtschaftliche Schaden, den sie geltend machen, nicht der "daraus resultierende Schaden" aus einer angeblichen Vertragsverletzung sein.
In Fällen, in denen das angebliche Unrecht auf die unzureichende Erfüllung der Produktfunktionen zurückzuführen ist, haben die Gerichte entschieden, dass die Kläger dies tun müssen Angeblich "etwas mehr", als nur für ein defektes Produkt zu viel zu bezahlen, sagte der Richter. "Da die Kläger die Art und Weise in Frage stellen, in der LinkedIn die Sicherheitsdienste durchgeführt hat, müssen sie" etwas mehr "als rein wirtschaftlichen Schaden geltend machen. Dieses" etwas mehr "könnte ein Schaden sein, der als Folge der mangelhaften Sicherheitsdienste und Sicherheitsverletzungen aufgetreten ist wie zum Beispiel Diebstahl ihrer persönlich identifizierbaren Informationen. "
Massiver Identitätsdiebstahl macht beunruhigenden Trend sichtbar
Analyse: Eine Bande drahtloser Hacker ist nicht im Geschäft, aber das bedeutet nicht, dass wir plötzlich sicher sind
BP wegen Bildveränderung wegen Krisenreaktion
BP räumt ein, Bilder seines Krisenzentrums zu scannen, aber er sagt, warum und wann die Originalbilder waren aufgenommen.
Apple-Manager wegen Kickbacks über $ 1 Million verhaftet Ein Apple-Manager mit Verantwortung für die Auftragsfertigung des Unternehmens in Asien wurde am Freitag festgenommen und wegen Annahme von Schmiergeldern angeklagt.
Ein Apple-Manager mit Verantwortlichkeiten für die Auftragsfertigung des Unternehmens in Asien wurde am Freitag festgenommen und wegen Annahme von Schmiergeldern angeklagt.