RockYou Sued Over Data Breach

Ang isang Indiana tao ay nagpadala ng isang tanyag na social networking app tagagawa ng isang mahusay na malaking "piraso ng likas na talino" kahapon - sa anyo ng isang class-action na kaso. Sinusubukan ng Alan Claridge ang RockYou, mga tagalikha ng spamtastic Facebook at MySpace apps tulad ng "Pieces of Flair" at "SuperWall," matapos ang kumpanya na inamin na nawala ang higit sa 30 milyong indibidwal na 'personal na pagkakakilanlan ng data sa isang hacker. ng mga nangungunang data ng mga kalamidad sa 2009 - ay hindi natutunan ng RockYou sa halos dalawang linggo.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Paano Nawala Ito?

Tandaan kung kailan ito dati ay okay upang isulat ang pangalan ng user ng iyong computer at password sa isang malagkit na tala at sampalin ito sa iyong monitor? O tama - iyan ay

hindi kailanman okay. Ngunit iyon ay karaniwang kung ano ang RockYou ginawa sa lahat ng mga kumpidensyal na data nito. Sa halip ng pag-encrypt o pagkuha ng anumang mga makatwirang panukalang upang ipagtanggol ang sarili, RockYou iningatan ang lahat ng mga naka-imbak personal na data sa plaintext file. Oo:.txt docs. "RockYou walang saysay at sinasadyang nabigo na kumuha ng kahit na ang pinaka-pangunahing mga hakbang upang maprotektahan ang mga gumagamit nito 'PII (personal na makikilalang impormasyon) sa pamamagitan ng pag-iwan ang data na ganap na walang naka-encrypt at magagamit para sa sinumang tao na may isang pangunahing hanay ng pag-hack mga kasanayan na kukuha ng PII ng hindi bababa sa 32 milyong mga customer, "ayon sa mga tuntunin.

Kaya napakadali para sa hacker na kilala bilang" igigi "upang pagsamantalahan ang mga kahinaan sa iniksyon ng RockYou na SQL (karaniwang" mahihirap na coding "). Maaari mong matandaan ang terminong iyon mula sa mas maagang bahagi ng taong ito kung ang Heartland Payment Systems ay nagtungo sa mga milyon-milyong at milyon-milyong mga numero ng credit card. Ayon sa isang kopya ng kaso na nakuha ni Wired, "igigi" ay tumakbo sa "mga e-mail at password ng tinatayang 32 milyong rehistradong gumagamit ng RockYou."

Ano ang RockYou gawin?

Hindi masyadong marami, ayon sa ang suit. Nakatanggap si Claridge ng isang e-mail mula sa RockYou noong Disyembre 16 na nagpapaalam sa kanya na ang kanyang impormasyon ay maaaring nakompromiso. Samantala, 12 araw nang mas maaga, natuklasan ng RockYou ang sarili nitong mga kahinaan at isinara ang site nito.

Ano ang Susunod?

Para sa mga starter, inilathala ni RockYou ang isang paghingi ng paumanhin / paliwanag ng atake sa Web site nito. "Ang privacy at seguridad ng aming mga gumagamit ay palaging isang priyoridad para sa RockYou at sinisikap naming panatilihing ligtas ang mga ito. Ang aming mga gumagamit ay may tiwala sa aming mga serbisyo at patuloy naming matiyak na ang pagtitiwala ay nararapat," ang kumpanya ay nagsusulat.

, RockYou planong mag-imbestiga, magsuri, at magpatupad ng "mga bagong gawi upang maiwasan itong mangyari muli." RockYou nabanggit ang mga sumusunod na hakbang:

Naka-encrypt namin ang lahat ng mga password;

1. Ina-upgrade namin ang platform ng legacy na may parehong imprastraktura at standard na mga protocol ng seguridad sa industriya na ginagamit namin sa aming mga platform ng application ng kasosyo;
2. Sinusuri namin ang aming kasalukuyang mga tampok ng seguridad ng data at tiyakin na natutugunan nila ang mga pamantayan ng industriya at mga pinakamahusay na kasanayan; at
3. Nakikipagtulungan kami sa mga Pederal na awtoridad upang siyasatin ang ilegal na paglabag sa aming database.
4. Ang kaso, na isinampa sa US District Court sa San Francisco, ay naglalaman ng siyam na bilang, kabilang ang kapabayaan, paglabag sa kontrata, paglabag sa Batas sa Computer Crime ng California, at California Information Security Breach Act, bukod sa iba pa. Kinakailangan ng suit na pinoprotektahan ng RockYou ang data ng kostumer, at naghahanap din ng "hindi natukoy na mga pinsala."

Gamit ang ganitong uri ng presyur na bumababa sa mga balikat nito, Dapat na mabilis na linisin ng RockYou ang pagkilos nito. Ngunit ang prinsipyo ng bagay ay nakababa nang malakas: paano tayo dapat masiyahan sa mga hindi nakakapinsalang mga social networking apps kapag ang mga bagay ay maaaring maging hindi kanais-nais na maasim? Ang kabiguan ng RockYou upang maprotektahan ang mga customer nito at ang 12-araw na paghihintay nito bago ipaalam sa sinuman ng hack ang isang strain of negligence na hindi dapat na umiiral sa panahon ng Internet na ito.