RockYou Sued Over Data Breach

Un uomo dell'Indiana ha inviato un famoso produttore di app di social networking un grande "pezzo di talento" ieri - nella forma di un'azione legale collettiva. Alan Claridge ha citato RockYou, creatori di applicazioni spamtastic su Facebook e MySpace come "Pieces of Flair" e "SuperWall", dopo che la società ha ammesso di aver perso oltre 30 milioni di dati personali di identificazione di un hacker.

L'incidente dei principali disastri di dati del 2009 - è stato ignorato da RockYou per quasi due settimane.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Come è stato perso?

Ricorda quando era okay scrivere il nome utente e la password del computer su una nota adesiva e schiaffarla sul monitor? Oh giusto - era mai ok. Ma quello era fondamentalmente ciò che RockYou faceva con tutti i suoi dati confidenziali. Invece di crittografare o prendere qualsiasi misura ragionevole per difendersi, Rockyou ha conservato tutti i suoi dati personali memorizzati in file di testo in chiaro. Sì:.txt docs.

"RockYou ha sconsigliato e consapevolmente omesso di prendere anche i passaggi più basilari per proteggere i dati personali dell'utente (informazioni identificabili personalmente) lasciando i dati interamente non criptati e disponibili per qualsiasi persona con un set di base di hacking capacità di portare le PII di almeno 32 milioni di clienti ", afferma la causa.

Quindi è stato straordinariamente facile per l'hacker noto come" igigi "sfruttare le vulnerabilità di SQL injection di RockYou (fondamentalmente" codifica scadente "). Potresti ricordare quel termine dall'inizio di quest'anno quando Heartland Payment Systems è andato in cerca di whoopsie con milioni e milioni di numeri di carte di credito. Secondo una copia della causa ottenuta da Wired, "igigi" è scappato con "le e-mail e le password di circa 32 milioni di utenti registrati di RockYou".

Cosa ha fatto RockYou?

Non troppo, secondo l'abito. Claridge ha ricevuto un'e-mail da RockYou il 16 dicembre per informarlo che le sue informazioni potrebbero essere state compromesse. Nel frattempo, 12 giorni prima, RockYou scoprì le proprie vulnerabilità e chiuse il suo sito.

Cosa è Next?

Per i principianti, RockYou ha pubblicato una scusa / spiegazione dell'attacco sul suo sito Web. "La privacy e la sicurezza dei dati dei nostri utenti sono sempre state una priorità per RockYou e ci sforziamo di proteggerli. I nostri utenti hanno fiducia nei nostri servizi e continueremo a garantire che la fiducia sia meritata", scrive l'azienda.

Ulteriori, RockYou prevede di indagare, rivedere e implementare "nuove pratiche per evitare che ciò accada di nuovo". RockYou ha citato i seguenti passaggi:

1. Stiamo crittografando tutte le password;
2. Stiamo aggiornando la piattaforma legacy con la stessa infrastruttura e i protocolli di sicurezza standard del settore che impieghiamo sulle nostre piattaforme di applicazioni partner;
3. Stiamo rivedendo il nostro attuale caratteristiche di sicurezza dei dati e garantire che soddisfino gli standard del settore e le migliori pratiche; e
4. Stiamo collaborando con le autorità federali per indagare sulla violazione illegale del nostro database.

La causa, che è stata depositata presso il tribunale distrettuale di San Francisco, contiene nove capi d'accusa, tra cui negligenza, violazione del contratto, violazione di La California's Computer Crime Law e California Security Breach Information Act, tra gli altri. La tuta richiede che RockYou protegga i dati dei clienti e cerchi anche "danni non specificati".

Con questo tipo di pressione alle spalle, Rockyou dovrebbe rapidamente ripulire il suo operato. Ma il principio della questione è pesante: come dovremmo godere di innocue app di social networking quando le cose possono diventare così inaspettatamente aspre? L'incapacità di RockYou di proteggere i propri clienti e la loro attesa di 12 giorni prima di informare qualcuno dell'hack espone uno sforzo di negligenza che semplicemente non dovrebbe esistere in questa era di Internet.