RockYou Sued Over Data Breach

Een Indiana-man stuurde gisteren een populaire app voor sociale netwerken een groot 'stukje flair', in de vorm van een rechtszaak tegen een class action. Alan Claridge vervolgde RockYou, makers van spamtastic Facebook- en MySpace-apps zoals 'Pieces of Flair' en 'SuperWall', nadat het bedrijf had toegegeven dat het meer dan 30 miljoen persoonlijke identificatiegegevens van een persoon aan een hacker had verloren.

Het incident - een van de belangrijkste gegevensrampen van 2009 - werd bijna twee weken lang door RockYou niet erkend.

[Meer informatie: hoe u malware van uw Windows-pc verwijdert]

Hoe was het vergeten?

Denk eraan dat het ok was om de gebruikersnaam en het wachtwoord van uw computer op een plakbriefje te schrijven en op uw monitor te klappen? Oh goed - dat was nooit oke. Maar dat was eigenlijk wat RockYou heeft gedaan met al zijn vertrouwelijke gegevens. In plaats van te coderen of elke redelijke maatregel te nemen om zichzelf te verdedigen, heeft RockYou al zijn opgeslagen persoonlijke gegevens in leesbare bestanden opgeslagen. Ja:.txt docs.

"RockYou roekeloos en willens en wetens heeft zelfs de meest basale stappen niet ondernomen om de PII (persoonlijk identificeerbare informatie) van zijn gebruikers te beschermen door de gegevens volledig onversleuteld en beschikbaar te houden voor elke persoon met een basisset van hacking vaardigheden om de PII van minstens 32 miljoen klanten te nemen, "verklaart het proces.

Het was dus opmerkelijk gemakkelijk voor de hacker die bekend staat als" igigi "om de kwetsbaarheden van de SQL-injectie van RockYou te exploiteren (in principe" slechte codering "). Wellicht herinnert u zich die term nog eerder dit jaar toen Heartland Payment Systems whoopsie met miljoenen en miljoenen creditcardnummers ging gebruiken. Volgens een kopie van de rechtszaak die door Wired is verkregen, "hapte igigi" weg met "de e-mails en wachtwoorden van ongeveer 32 miljoen geregistreerde RockYou-gebruikers."

Wat deed RockYou?

Niet teveel, volgens het pak. Claridge ontving op 16 december een e-mail van RockYou met de mededeling dat zijn informatie mogelijk in gevaar was. Ondertussen, 12 dagen eerder, ontdekte RockYou zijn eigen kwetsbaarheden en sloot het zijn site af.

What's Next?

Om te beginnen publiceerde RockYou een verontschuldiging / uitleg van de aanval op zijn website. "De privacy en gegevensbeveiliging van onze gebruikers zijn altijd een prioriteit geweest voor RockYou en we streven ernaar deze veilig te houden. Onze gebruikers hebben vertrouwen in onze services en we zullen blijven garanderen dat het vertrouwen verdiend is", schrijft het bedrijf.

Verder, RockYou is van plan om nieuwe methoden te onderzoeken, beoordelen en implementeren om te voorkomen dat dit opnieuw gebeurt. RockYou citeerde de volgende stappen:

1. We coderen alle wachtwoorden;
2. We zijn het oude platform aan het upgraden met dezelfde infrastructuur- en industriestandaard beveiligingsprotocollen die we gebruiken op onze partnerapplicatieplatforms;
3. We zijn onze huidige gegevensbeveiligingsfuncties en ervoor zorgen dat ze voldoen aan industriestandaarden en beste praktijken; en
4. We werken samen met federale autoriteiten om de illegale schending van onze database te onderzoeken.

De rechtszaak, die werd ingediend bij de Amerikaanse districtsrechtbank in San Francisco, bevat negen punten, waaronder nalatigheid, contractbreuk, schending van California's Computer Crime Law, en California's Security Breach Information Act, onder anderen. Het pak vereist dat RockYou klantgegevens beschermt en ook "niet-gespecificeerde schade" zoekt.

Met dit soort druk dat op zijn schouders drukt, moet RockYou zijn act snel verwijderen. Maar het principe blijft zwaar: hoe kunnen we genieten van onschadelijke apps voor sociaal netwerken wanneer zaken zo onverwacht zuur kunnen worden? RockYou's nalaten zijn klanten te beschermen en het 12-dagen wachten voordat iemand van de hack op de hoogte wordt gesteld, legt een vorm van nalatigheid bloot die gewoon niet zou bestaan ​​in dit internettijdperk.