LinkedIn wegen Passwortleck verklagt

Eine LinkedIn-Nutzerin aus dem US-Bundesstaat Illinois führt eine Sammelklage gegen das Business-Netzwerk wegen des kürzlichen Verlusts tausender Passwörter an. Katie Szpyrka wirft dem Unternehmen vor, seine eigenen Nutzungsbedingungen und Datenschutzrichtlinien verletzt zu haben.

In der beim US-Bezirksgericht des nördlichen Distrikts von Kalifornien eingereichten Klageschrift heißt es, LinkedIn habe dabei versagt, die „digital gespeicherten persönlichen Daten seiner Nutzer, die sie identifizierbar machen, ausreichend zu schützen“. Szpyrka fordert daher einen Geschworenenprozess und wegen Vertragsbruch und Fahrlässigkeit Schadenersatz in Höhe von 5 Millionen Dollar.

LinkedIn-Sprecherin Erin O’Harra wies die Anschuldigungen als „unbegründet“ zurück. „Kein Nutzerkonto wurde in Folge des Vorfalls kompromittiert, und wir haben keinen Grund zu der Annahme, dass irgendein LinkedIn-Mitglied verletzt wurde“, schreibt sie in einer E-Mail. „Daher scheinen diese Bedrohungen von Anwälten angeführt zu werden, die einen Vorteil aus der Situation herausschlagen wollen.“

Der Antragsstellerin zufolge haben sich an der Sammelklage Privatleute und Rechtspersonen aus den USA beteiligt, die vor oder bis zum 6. Juni 2012 ein LinkedIn-Konto besaßen. Darunter seien auch Nutzer, die für ein Konto-Upgrade gezahlt hätten.

Szpyrka selbst besitzt seit 2010 einen Premium-Account bei dem Social Network, der sie monatlich 26,95 Dollar kostet. Ihr zufolge verspricht LinkedIn in seiner Datenschutzrichtlinie, dass alle Nutzerinformationen nach Industriestandards geschützt sind. Durch die Verwendung eines schwachen Verschlüsselungsformats erfülle es aber nicht einmal einfachste Standards. Das Unternehmen verwendet für die Passwortverschlüsselung zwar den als sicher geltenden Algorithmus SHA-1, verzichtet Experten zufolge aber auf das Salting des Hashwerts. Salt (Salz) ist eine zufällige Zeichenfolge, die an das Passwort angehängt wird und Entschlüsselungsversuche erheblich erschwert. Nach eigenen Angaben hat LinkedIn inzwischen reagiert und „die zusätzliche Sicherheitsebene eingeführt, die zu den anerkannt vorbildlichen Praktiken der Branche gehört“.

Ein weiterer Vorwurf der Kläger ist eine mangelnde Informationspolitik seitens LinkedIn. Das Netzwerk habe den Angriff nicht publik gemacht, so dass er erst durch Hinweise Dritter an Licht gekommen sei.

Russische Hacker waren Anfang Juni mittels SQL-Injection in die Systeme von LinkedIn eingedrungen und hatten rund 6,5 Millionen verschlüsselte Passwörter entwendet. Diese veröffentlichten sie kurz darauf. LinkedIn versicherte einige Tage später, dass negative Folgen ausgeblieben seien, obwohl ein Teil der Passwörter entschlüsselt werden konnte.

[mit Material von Donna Tam, News.com, und John Fontana, ZDNet.com]

Tipp: Wie gut kennen Sie Soziale Netzwerke? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.