Потребители на Linkedin в САЩ завеждат иск срещу компанията

Жена от щата Илинойс завежда групов иск срещу Linkedin с обвинението, че от компанията са нарушили собствената си политика за конфиденциалност и потребителските споразумения, което е позволило на хакери да откраднат 6.46 млн. пароли.

Кейти Шпирка (Katie Szpyrka), регистриран потребител на бизнес-мрежата от 2010г. твърди, че компанията се е провалила в това "да предпази запазената по цифров път идентификационна информация на своите потребители, в това число техните имейл адреси, пароли и акредитации по вписване в акаунтите."

Шпирка, която завежда делото в Щатския съд на Северна Калифорния е поискала свикването на съдебен състав по обвинения включващи нарушение на договора между страните и проявена небрежност.

Тя съобщава, че ишчицте в иска включват, както физически лица, така и организации и компании в САЩ, които са се сдобили с акаунт в Linkedin преди датата 6.06.2012г. включително, като се включват и такива, които притежават акаунти Premium.

Две седмици по-рано, от Linkedin съобщиха, че руски хакери са успели да откраднат близо 6.5 млн. пароли. На потребителите, които имат навика да използват еднакви пароли за различни уебсайтове им беше съобщено да сменят паролите си.

С потребителска база, наброяваща повече от 150 млн. човека, кражбата на пароли е засегнала по - малко от 5% от хората, които имат регистрации в бизнес-мрежата.

Ерин О'Хара, съветник по връзки с обществеността към Linkedin заяви във връзка с иска, че: "Няма пробив в акаунтите на нашите потребители вследствие на атаката и ние нямаме основание да смятаме, че който и да е потребител на нашата мрежа е пострадал. Следователно, ние стигнахме до извода, че тези заплахи за съд идват от адвокати, които гледат да се възползват от ситуацията. Според нас тези обвинения са безпочвени и ще защитаваме компанията си с всички сили."

Едно от обвиненията по които е завела Шпирка, която плаща за акаунт Premium 29.95 долара на месец е, че в споразумението за конфиденциалност на Linkedin се твърди, че цялата информация, която осигуряват потребителите ще бъде защитена посредством установените стандарти за сигурност и технологията нужна за това.

Според нея, Linkedin се е провалила в спазването на основни стандарти за сигурност чрез използването на слаби методи за криптирането на данни. Компанията е криптила паролите посредством алгоритъма SHA-1, но е пренебрагнала препоръката да приложи специфична допълнителна мярка за сигурност към въпросният метод, което е щяло да направи дешифрирането на откраднатата информация много по-трудно за крадците.

В иска се посочва също така, че по предварителни доклади, хакерите са използвали атака посредством SQL-injection , което е позволило на хакерите да достигнат до базата данни.

Този вид атаки са едни от най-често срещаните от 2007г. насам като първите такива датират от две години по-рано - от 2005г. В иска се посочва ръководството за избягване на подобен род атаки, издаден от Националният институт по стандартизация и технологии.

Едно от другите обвинения в иска е това, че Linkedin не е дала публичност по пробива и са го направили едва след като информацията е била разгласена от трети страни. Още повече, че от компанията са били заявили, че "атаката не е засегнала потребителска информация, което е станало благодарение спазването на добри практики" (което явно впоследствие се разбира, че не е така).

Искът за обезщетение се равнява на 5 млрд. щатски долара.