Ein US-Bezirksrichter in Kalifornien hat entschieden, dass Kläger in einem Prozess gegen LinkedIn versäumt haben, ihnen tatsächlich entstandenen Schaden nachzuweisen. Es geht in dem Fall um 6,5 Millionen im letzten Jahr gestohlene Passwörter.
Richter Edward J. Davila konnte keinen Nachweis einer „kausalen Verbindung“ zwischen behaupteten Schäden und LinkedIns angeblichem sicherheitstechnischen Versagen erkennen. Die Passwörter sollen schlecht verschlüsselt gewesen sein, was weder Branchenstandards noch LinkedIns eigenen Sicherheitsrichtlinien entspreche. Zum letzten Punkt merkt der Richter an, dass die Kläger die Datenschutzrichtlinie nie gelesen hätten. Von einem nicht gehaltenen Versprechen könne daher nicht die Rede sein. Außerdem seien die Sicherheitsversprechen für kostenlose und Premium-Konten gleich, was wesentliche Anklagepunkte entkräfte.
Im Juni 2012 musste LinkedIn melden, dass russische Hacker fast 6,5 Millionen Passwörter von seinem Webserver gestohlen hatten. Da das Business-Social-Network zu diesem Zeitpunkt über 150 Millionen Nutzer hatte, waren nicht ganz 5 Prozent betroffen.
Die US-Klage reichte kurz darauf die seit 2010 bei LinkedIn registrierte Katie Szpyrka ein. Wegen Vertragsbruchs und Nachlässigkeit forderte sie ein Geschworenenverfahren sowie 5 Millionen Dollar Schadenersatz. Als Premium-Mitglied zahlt sie 26,95 Dollar je Monat. Ein zweiter Nutzer schloss sich der Klage später an. Die beiden wurden dann zu Stellvertretern einer Sammelklage ernannt.
Konkret warfen von der Anklage zitierte Experten LinkedIn vor, die Passwörter nur mit SHA-1 verschlüsselt und vor allem kein Salt verwendet zu haben. Salt (Salz) ist eine zufällige Zeichenfolge, die an das Passwort angehängt wird, um Entschlüsselungsversuche erheblich zu erschweren. Nach eigenen Angaben hat LinkedIn kurz darauf reagiert und „die zusätzliche Sicherheitsebene eingeführt, die zu den anerkannt vorbildlichen Praktiken der Branche gehört“.
Außerdem hieß es in der Klage, die Hacker hätten eine einfache SQL Injection für ihren Angriff verwendet. Hätte sich LinkedIn an die simplen Ratschläge auf einer Checkliste des National Institute of Standards and Technology (NIST) gehalten, wäre der Angriff nicht erfolgreich gewesen.
[mit Material von John Fontana, ZDNet.com]
Tipp: Wie gut kennen Sie Hightech-Firmen, die an der Börse notiert sind? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
3 Kommentare zu Richter weist Klage gegen LinkedIn ab
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Was „Secure Hash Algorithm“ bedeutet, sagt einem die Bezeichnung. SHA-1 ist keine Verschlüsselungsmethode, daher können auch keine „Entschlüsselungsversuche erheblich (…) erschweren“ werden. Wenn BLÖD & Co. so einen Unfug schreiben, dann wundert einen dies nicht, aber bei einem Computermagazin, sollte sich der Autor doch selber fragen, ob er nicht besser bei der Boulevardpresse aufgehoben wäre.
Ach, immer die gleichen Einwände. Erstens wurde eine Diskussion vor einem US-Gericht zusammengefasst. Ich kann doch nicht die Begründung des Richters korrigieren! Zweitens bitte ich um einen Lösungsvorschlag: Wie würden Sie bitteschön in einer Nachricht wie dieser den Unterschied zwischen einer Hashfunktion und einer Verschlüsselung in angemessener Länge erklären?
>>Ach, immer die gleichen Einwände.
Wenn dies öfter vorkommt, dann würde ich einfach korrekte Termini verwenden, auch um dem Leser zu zeigen, dass man weiß wovon man schreibt. Zusätzlich noch ein Link zum entsprechenden Wikipediaeintrag (wie bei Salt) und schon kann der interessierte Leser sein Wissen ggf. vervollständigen. Eine Fachpublikation darf davon ausgehen, dass der Leser ein gewisses Maß an Fachwissen mitbringt und nicht jeder Fachbegriff muss seitenlang erklärt werden.
>>Erstens wurde eine Diskussion vor einem US-Gericht zusammengefasst. Ich kann doch nicht die Begründung des Richters korrigieren!
Doch, das können Sie! Wenn der Richter etwas falsches zum Besten gibt, dann muss man dies sogar berichtigen. So ein Richter ist i.d.R. kein Computerexperte und hat sicher nur auf das gehört, was ihm sein überbezahlter, unterdurchschnittlich begabter Spezialexperte erzählt hat.
>>Zweitens bitte ich um einen Lösungsvorschlag: Wie würden Sie bitteschön in einer Nachricht wie dieser den Unterschied zwischen einer Hashfunktion und einer Verschlüsselung in angemessener Länge erklären?
In diesem Fall muss man gar nicht erklären warum ein Hash-Algorithmus keine Verschlüsselung ist. Es reicht vollkommen aus zu erwähnen, dass ungesalzene SHA-1-Hashes verwendet wurden, evtl. noch garniert mit weiterführenden Links zu Wikipedia.
Aus der Nachricht:
„Konkret warfen von der Anklage zitierte Experten LinkedIn vor, die Passwörter nur mit SHA-1 verschlüsselt und vor allem kein Salt verwendet zu haben.“
Da waren schon die „von der Anklage zitierte Experten“ ahnungslos und auch dies darf man erwähnen. In diesem Zusammenhang könnte man erklären, dass ein Hash eine Einwegkodierung ist und dass aus einem Hash nicht der ursprüngliche Text dekodiert werden kann und… Aber nein, Sie verfassen ja selber keine Artikel, Sie berichten „nur“ über das was andere sagen oder tun. Dieses „nur“ ist nicht böse gemeint, ich meine damit nur, dass Sie keinen längeren Artikel zu einem Thema verfassen, den dann doch nur die lesen, die eh schon alles wissen oder besser wissen. ;O)
Mir ist schon klar dass diese klein Nachricht sehr unwichtig ist, auf die die Redaktion nicht viel Zeit ver(sch)wenden kann. Aber dies ist eben auch der Unterschied, wenn es um BILD oder DIE ZEIT geht.