RockYou Sued Over Data Breach

En Indiana man skickade en populär social networking app maker en stor stor "flair" igår - i form av en klasshandling. Alan Claridge stämde RockYou, skapare av spamtastic Facebook och MySpace-appar som "Pieces of Flair" och "SuperWall", efter att företaget medgav att ha förlorat över 30 miljoner individer personliga identifieringsdata till en hackare.

Händelsen - en av 2009: s högsta datakatastrofer - gick okänt av RockYou i nästan två veckor.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Hur blev det förlorat?

Kom ihåg när det var okej att skriva datorns användarnamn och lösenord på en klistermärke och släppa den på din bildskärm? Åh rätt - det var aldrig okej. Men det var i princip vad RockYou gjorde med alla sina konfidentiella data. Istället för att kryptera eller vidta någon rimlig åtgärd för att försvara sig, behöll RockYou alla lagrade personuppgifter i rentextfiler. Ja:.txt docs. "RockYou misslyckades och medvetet att ta till och med de mest grundläggande stegen för att skydda användarnas PII (personligt identifierbar information) genom att lämna uppgifterna helt okrypterade och tillgängliga för alla personer med en grundläggande uppsättning hacking kompetens att ta PII av minst 32 miljoner kunder, "stämningsansökan." Så det var anmärkningsvärt enkelt för hacker som kallas "igigi" för att utnyttja RockYou sårbarheter för SQL-injektion (i grunden "dålig kodning"). Du kanske kommer ihåg den perioden från tidigare i år när Heartland Payment Systems gick whatsopsie med miljoner och miljoner kreditkortsnummer. Enligt en kopia av rättegången som erhållits av Wired, "igigi" scampered bort med "e-post och lösenord för cirka 32 miljoner registrerade RockYou-användare."

Vad gjorde RockYou gör?

Inte för mycket, enligt kostymen. Claridge mottog e-post från RockYou den 16 december och informerade honom om att hans information kan ha äventyras. Under tiden, 12 dagar tidigare, upptäckte RockYou sina egna sårbarheter och stängde av sin webbplats.

Vad är nästa?

För att börja med, RockYou publicerade en ursäkt / förklaring av attacken på sin webbplats. "Våra användares integritet och datasäkerhet har alltid varit en prioritet för RockYou och vi strävar efter att hålla dem säkra. Våra användare har förtroende för våra tjänster och vi kommer att fortsätta att se till att förtroendet förtjänas," skriver företaget., RockYou planerar att undersöka, granska och genomföra "nya metoder för att förhindra att detta händer igen". RockYou citerade följande steg:

Vi krypterar alla lösenord;

Vi uppgraderar den äldre plattformen med samma säkerhetsprotokoll för infrastruktur och industristandard som vi använder på våra partnerapplikationsplattformar;

Vi granskar vår nuvarande datasäkerhetsfunktioner och se till att de uppfyller industristandarder och bästa praxis; och

1. Vi samarbetar med federala myndigheter för att undersöka olaglig överträdelse av vår databas.
2. Stämningen, som inlämnades i USA: s tingsrätt i San Francisco, innehåller nio räkningar, inklusive oaktsamhet, avtalsbrott, kränkning av Kaliforniens datorbrottslag, och Kaliforniens säkerhetslagar, bland annat. Drakten kräver att RockYou skyddar kunddata och söker även "ospecificerade skador".
3. Med denna typ av tryckbärande lager på axlarna borde RockYou snabbt rensa sin handling. Men principen i saken hänger tungt: hur ska vi njuta av harmlösa sociala nätverk apps när saker kan bli så oväntat sura? Rock Du misslyckas med att skydda sina kunder och dess 12-dagars vänta innan du informerar någon av hacken utsätts för en försummelse som inte borde finnas i denna Internetålder.