RockYou Sued Lebih Melanggar Data

Seorang lelaki Indiana menghantar pembuat aplikatan rangkaian sosial yang terkenal "sekeping bakat" yang hebat semalam - dalam bentuk tuntutan mahkamah tindakan kelas. Alan Claridge menggugat RockYou, pencipta aplikasi spamtastic Facebook dan MySpace seperti "Pieces of Flair" dan "SuperWall," selepas syarikat itu mengaku telah kehilangan lebih daripada 30 juta data pengenalan diri individu kepada penggodam.

Insiden itu - satu dari 2009 bencana data teratas - tidak diketahui oleh RockYou selama hampir dua minggu.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari Windows PC Anda]

Bagaimana Apakah Lost?

Ingat ketika dulu ia baik-baik saja untuk menulis nama pengguna dan kata laluan komputer anda pada nota melekit dan menampalkannya pada monitor anda? Oh betul - itulah tidak pernah okay. Tetapi pada dasarnya RockYou lakukan dengan semua data sulitnya. Daripada menyulitkan atau mengambil sebarang langkah yang munasabah untuk mempertahankan dirinya sendiri, RockYou menyimpan semua data peribadi yang tersimpan dalam fail plaintext. Ya:.txt docs

"RockYou secara tidak sengaja dan dengan sengaja gagal mengambil langkah-langkah yang paling asas untuk melindungi PII pengguna (maklumat yang dikenal pasti secara peribadi) dengan meninggalkan data yang tidak dienkripsi dan tersedia untuk mana-mana orang dengan set peretasan asas kemahiran untuk mengambil PII sekurang-kurangnya 32 juta pelanggan, "kata undang-undang.

Jadi, sangat mudah bagi penggodam yang dikenali sebagai" igigi "untuk mengeksploitasi kelemahan suntikan SQL RockYou (pada dasarnya" pengkodean miskin "). Anda mungkin ingat bahawa istilah dari awal tahun ini apabila Sistem Pembayaran Heartland telah menjadi sasaran berjuta-juta dan berjuta-juta nombor kad kredit. Mengikut salinan tuntutan yang diperoleh oleh Wired, "igigi" menjerat dengan "e-mel dan kata laluan kira-kira 32 juta pengguna RockYou berdaftar."

Apa yang RockYou lakukan?

Tidak terlalu banyak, menurut saman itu. Claridge menerima e-mel dari RockYou pada 16 Disember memberitahu beliau bahawa maklumatnya mungkin telah dikompromi. Sementara itu, 12 hari lebih awal, RockYou mendapati kelemahannya sendiri dan menutup laman webnya.

Apa Seterusnya?

Sebagai permulaan, RockYou menerbitkan satu permintaan maaf / penjelasan terhadap serangan itu di laman webnya. "Privasi dan keselamatan data pengguna kami sentiasa menjadi keutamaan bagi RockYou dan kami berusaha untuk memastikan mereka selamat. Pengguna kami mempunyai keyakinan terhadap perkhidmatan kami dan kami akan terus memastikan keyakinan itu layak," kata syarikat itu., RockAnda bercadang untuk menyiasat, mengkaji semula, dan melaksanakan "amalan baru untuk mencegah hal ini berlaku lagi." RockYou memetik langkah-langkah berikut:

Kami menyulitkan semua kata laluan;

1. Kami menaik taraf platform warisan dengan infrastruktur keselamatan dan infrastruktur standard yang sama yang kami gunakan pada platform aplikasi rakan kongsi kami;
2. Kami mengkaji semula arus kami ciri keselamatan data dan memastikan mereka memenuhi standard industri dan amalan terbaik;
3. Undang-undang yang difailkan di Mahkamah Daerah AS di San Francisco, mengandungi sembilan tuduhan, termasuk kecuaian, pelanggaran kontrak, pelanggaran Undang-undang Jenayah Komputer California, dan Akta Maklumat Pelanggaran Keselamatan California, antara lain. Saman menuntut bahawa RockYou melindungi data pelanggan, dan juga mencari "ganti rugi yang tidak ditentukan."
4. Dengan tekanan seperti ini yang diturunkan pada bahu, RockYou harus segera membersihkan perbuatannya. Tetapi prinsip perkara itu tergantung berat: bagaimana kita seharusnya menikmati aplikasi rangkaian sosial yang tidak berbahaya apabila perkara-perkara boleh berubah menjadi masam yang tidak disangka-sangka? Kegagalan RockYou untuk melindungi para pelanggan dan tunggu selama 12 hari sebelum memberitahu sesiapa hack mendedahkan kecuaian kecuaian yang semestinya tidak ada di zaman Internet ini.