RockYou sued over Data Breach

Hændelsen - en af 2009s største datakatastrofer - blev uacceptabelt af RockYou i næsten to uger.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Hvordan blev det tabt?

Husk når det plejede at være okay at skrive din computers brugernavn og adgangskode på en notat og smække den på skærmen? Åh rigtigt - det var

aldrig okay. Men det var grundlæggende hvad RockYou gjorde med alle sine fortrolige data. I stedet for at kryptere eller tage rimelige forholdsregler for at forsvare sig, har RockYou bevaret alle sine gemte personoplysninger i plaintext-filer. Ja:.txt docs. "RockYou har ubeklageligt og bevidst undladt at tage selv de mest grundlæggende skridt til at beskytte brugerens PII (personligt identificerbare oplysninger) ved at lade dataene være helt ukrypterede og tilgængelige for enhver person med et grundlæggende sæt hacking færdigheder til at tage PII af mindst 32 millioner kunder, "retssagen stater. Så det var bemærkelsesværdigt let for hackeren kendt som" igigi "for at udnytte RockYou's SQL-indsprøjtning sårbarheder (grundlæggende" dårlig kodning "). Du kan huske den periode fra tidligere i år, da Heartland Payment Systems gik til whosopsie med millioner og millioner af kreditkortnumre. Ifølge en kopi af Wembes retssag blev "igigi" scampered væk med "e-mails og adgangskoder til ca. 32 millioner registrerede RockYou-brugere."

Hvad gjorde RockYou?

Ikke alt for meget, ifølge jakkesættet. Claridge modtog en e-mail fra RockYou den 16. december og oplyste ham om, at hans oplysninger måtte være blevet kompromitteret. I mellemtiden, 12 dage tidligere, opdagede RockYou sine egne sårbarheder og lukkede sit websted.

Hvad er det næste?

RockYou offentliggjorde for nylig en undskyldning / forklaring af angrebet på sit websted. "Vores brugers privatliv og datasikkerhed har altid været en prioritet for RockYou, og vi stræber efter at holde dem sikre. Vores brugere har tillid til vores tjenester, og vi vil fortsætte med at sikre, at tilliden fortjenes," skriver virksomheden.

Yderligere, RockYou planlægger at undersøge, gennemgå og implementere "nye metoder for at forhindre dette igen." RockYou citerede følgende trin:

Vi krypterer alle adgangskoder;

Vi opgraderer den gamle platform med de samme infrastruktur- og industristandard sikkerhedsprotokoller, som vi bruger på vores platforme for partnerprogrammer;

1. Vi gennemgår vores nuværende datasikkerhedsfunktioner og sikre, at de opfylder industristandarder og bedste praksis og
2. Vi samarbejder med de føderale myndigheder om at undersøge den ulovlige overtrædelse af vores database.
3. Sagen, der blev indgivet i US District Court i San Francisco, indeholder ni tæller, herunder uagtsomhed, kontraktbrud, krænkelse af Californias lov om computerkriminalitet og Californiens lov om sikkerhedsbrud, blandt andre. Suksessen kræver, at RockYou beskytter kundedata og søger også "uspecificerede skader".
4. Med denne slags trykbærende bærer ned på skuldrene skal RockYou hurtigt rydde op. Men princippet om sagen hænger tungt: Hvordan skal vi nyde harmløse sociale netværksapps, når det kan være så uventet surt, når det er vigtigt? RockYou undlader at beskytte sine kunder og dets 12-dages ventetid, inden de informerer nogen om hacket, udsætter en uagtsomhed, der simpelthen ikke bør eksistere i denne internetalder.