RockYou Sued Over Data Breach

Hendelsen - en av 2009s største datakatastrofer - gikk ubekreftet av RockYou i nesten to uker.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Hvordan ble det tapt?

Husk når det pleide å være ok å skrive datamaskinens brukernavn og passord på et notat og slå det på skjermen din? Oh right - det var

aldri okay. Men det var i utgangspunktet hva RockYou gjorde med alle sine konfidensielle data. I stedet for å kryptere eller ta et rimelig tiltak for å forsvare seg, beholdt RockYou alle lagrede personopplysninger i enkle tekstfiler. Ja:.txt docs. "RockYou mislyktes og med vilje til å ta selv de mest grunnleggende trinnene for å beskytte brukerens PII (personlig identifiserbar informasjon) ved å la dataene være helt ukrypterte og tilgjengelige for alle som har et grunnleggende sett med hacking ferdigheter til å ta PII av minst 32 millioner kunder, sier søksmålet. Så det var utrolig enkelt for hackeren kjent som "igigi" for å utnytte RockYous SQL-injeksjonsproblemer (i utgangspunktet "dårlig koding"). Du kan kanskje huske det perioden fra tidligere i år da Heartland Payment Systems gikk whoopsie med millioner og millioner av kredittkortnumre. Ifølge en kopi av søksmålet hentet av Wired, ble "igigi" scampered away med "e-postene og passordene til ca. 32 millioner registrerte RockYou-brukere."

Hva gjorde RockYou?

Ikke for mye, ifølge dressen. Claridge mottok en e-post fra RockYou 16. desember, og informerte ham om at hans opplysninger kan ha blitt kompromittert. I mellomtiden, 12 dager tidligere, oppdaget RockYou sine egne sårbarheter og lukket ned nettstedet.

Hva er neste?

For startere, RockYou publiserte en unnskyldning / forklaring på angrepet på sitt nettsted. "Brukerens personvern og datasikkerhet har alltid vært en prioritet for RockYou, og vi streber etter å holde dem sikre. Våre brukere har tillit til våre tjenester, og vi vil fortsette å sikre at tilliten fortjenes," skriver selskapet., RockYou planlegger å undersøke, gjennomgå og implementere "ny praksis for å forhindre at dette skjer igjen." RockYou citerte følgende trinn:

Vi krypterer alle passord;

Vi oppgraderer den eldre plattformen med de samme infrastruktur- og industristandard sikkerhetsprotokollene vi bruker på våre partnerprogrammer;

Vi vurderer vår nåværende datasikkerhetsfunksjoner og sikre at de oppfyller industristandarder og beste praksis; og

1. Vi samarbeider med føderale myndigheter for å undersøke ulovlig brudd på databasen.
2. Saken, som ble arkivert i US District Court i San Francisco, inneholder ni teller, inkludert uaktsomhet, brudd på kontrakt, brudd på California's Computer Crime Law, og California's Security Breach Information Act, blant andre. Drakten krever at RockYou beskytter kundedata, og søker også "uspesifiserte skader".
3. Med denne typen trykkbærende bære på skuldrene, bør RockYou raskt rydde opp sin handling. Men prinsippet om saken henger tungt: Hvordan skal vi nyte harmløse sosiale nettverksapper når det er viktig at det blir så uventet surt? RockYou's unnlatelse av å beskytte sine kunder og 12-dagers ventetiden før du informerer noen av hackene, avslører en forsømmelse som ikke bør eksistere i denne Internett-alderen.