A rede social profissional LinkedIn foi dispensada nesta terça-feira (5/3) de uma ação judicial que pedia indenização em nome dos usuários premium que tiveram suas senhas expostas em um fórum online, como resultado de uma violação de segurança dos servidores da empresa no ano passado. A violação de dados veio à tona no início de junho de 2012, depois de crackers postarem 6,5 milhões de senhas em "hash" (tipo de criptografia) correspondentes às contas do LinkedIn. Mais de 60% desses hashes foram quebrados mais tarde por hackers. A primeira denúncia contra o LinkedIn foi registrada em 15 de junho de 2012, no Tribunal Distrital dos EUA para o Distrito Norte da Califórnia, por uma proprietária de uma conta premium. A alegação de Katie Szpyrka era a de que o LinkedIn violou seu próprio Contrato de Usuário e Política de Privacidade ao não utilizar protocolos padrão da indústria e tecnologias para proteger as informações pessoais de seus clientes, incluindo endereços de email, senhas e credenciais de login. Uma alteração na queixa foi registrada em 26 de novembro em nome de Szpyrka e outro usuário premium da Virgínia, chamado Khalilah Wright. Eles representavam a classe de usuários do LinkedIn que foram afetados pela violação. A ação buscou "medida cautelar e outra reparação justa", bem como a indenização por danos. A denúncia alegava que o LinkedIn não teria protegido adequadamente os dados dos usuários, porque teria armazenado senhas usando uma função de criptografia fraca (hash) sem proteção adicional, apesar de a sua própria Política de Privacidade afirmar que "as informações pessoais fornecidas serão asseguradas de acordo com protocolos padrão da indústria e tecnologia." "O problema com esta prática é duas vezes maior", segundo a queixa. "Primeiro, SHA-1 é uma função hash desatualizada, publicada pela Agência de Segurança Nacional em 1995. Em segundo lugar, armazenar senhas em hash sem antes usar 'salt' é contra os métodos convencionais de proteção de dados e apresenta riscos significativos para a integridade das informações sensíveis de usuários." Métodos de criptografia mais antigos de hash como SHA-1 são rápidos e eficientes, mas também são vulneráveis a ataques de força bruta. Por esse motivo, é comum a prática de anexar primeiramente uma sequência única e aleatória a cada senha - conhecida como "salt". A acusação sustentou que se Szpyrka e Wright soubessem que o LinkedIn usava criptografia precária, não teriam pago para ter contas premium - que custam entre 20 e 100 dólares, dependendo do tipo de assinatura. Também argumentou que as mensalidades pagas, ou uma parte delas, foram usadas pela rede social para custos administrativos de gestão de dados e de segurança e, portanto, cumprir com sua promessa de usar protocolos padrão da indústria de segurança e tecnologia. Na terça-feira, o tribunal concedeu moção ao LinkedIn para rejeitar a denúncia com base na justificativa de que o acordo de uso e Política de Privacidade da empresa é o mesmo para contas gratuitas e premium. Segundo o juiz responsável pelo caso, quando um usuário adquire uma conta premium, significa que ele está pagando por recursos extras e não por mais (e melhor) segurança. Além disso, os usuários deveriam ter lido, em primeiro lugar, a Política de Privacidade, para poder apoiar uma reivindicação de falsas declarações em nome do LinkedIn, segundo o juiz.
Por: Lucian Constantin - IDG News Service.
Reviewed by Consultor de Segurança Eletrônica
on
12:51:00
Rating:
Nenhum comentário: