RockYou bị xâm phạm dữ liệu

Một người đàn ông Indiana đã gửi một nhà sản xuất ứng dụng mạng xã hội phổ biến một "mảnh lớn của sự tinh tế" ngày hôm qua - dưới hình thức một vụ kiện tập thể. Alan Claridge đã kiện RockYou, những người tạo ra các ứng dụng Facebook và MySpace spam như là "Pieces of Flair" và "SuperWall", sau khi công ty thừa nhận đã mất hơn 30 triệu dữ liệu nhận dạng cá nhân cho một hacker.

trong số những thảm họa dữ liệu hàng đầu của năm 2009 - đã bị RockYou bỏ qua trong gần hai tuần.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows]

Mất bao nhiêu lần?

thế nào để viết tên người dùng và mật khẩu của máy tính của bạn trên một lưu ý dính và tát nó trên màn hình của bạn? Oh đúng - đó là chưa bao giờ. Nhưng đó là những gì RockYou đã làm với tất cả các dữ liệu bí mật của nó. Thay vì mã hóa hoặc thực hiện bất kỳ biện pháp hợp lý nào để bảo vệ chính nó, RockYou lưu giữ tất cả dữ liệu cá nhân được lưu trữ của nó trong các tệp thô. Có:.txt docs.

"RockYou thiếu thận trọng và cố ý không thực hiện ngay cả các bước cơ bản nhất để bảo vệ PII của người dùng (thông tin nhận dạng cá nhân) bằng cách để dữ liệu hoàn toàn không được mã hóa và có sẵn cho bất kỳ ai có bộ hack cơ bản kỹ năng để lấy PII của ít nhất 32 triệu khách hàng, "vụ kiện tuyên bố.

Vì vậy, nó đã được đáng kể dễ dàng cho các hacker được gọi là" igigi "để khai thác lỗ hổng SQL injection RockYou (về cơ bản" nghèo mã hóa "). Bạn có thể nhớ thuật ngữ đó từ đầu năm nay khi hệ thống thanh toán Heartland đã đi với hàng triệu và hàng triệu số thẻ tín dụng. Theo một bản sao của vụ kiện thu được từ Wired, "igigi" đã lừa đảo với "các e-mail và mật khẩu của khoảng 32 triệu người dùng RockYou đã đăng ký."

RockYou đã làm gì?

Không quá nhiều, theo bộ com-lê. Claridge đã nhận được một e-mail từ RockYou vào ngày 16 tháng 12 để thông báo rằng thông tin của anh có thể đã bị xâm phạm. Trong khi đó, 12 ngày trước đó, RockYou đã phát hiện ra các lỗ hổng riêng của mình và tắt trang web của nó.

What's Next?

Để bắt đầu, RockYou đã xuất bản một lời xin lỗi / giải thích về cuộc tấn công trên trang web của mình. "Sự riêng tư của người dùng và bảo mật dữ liệu của chúng tôi luôn là ưu tiên của RockYou và chúng tôi cố gắng giữ an toàn cho họ. Người dùng của chúng tôi tin tưởng vào dịch vụ của chúng tôi và chúng tôi sẽ tiếp tục đảm bảo rằng sự tự tin là xứng đáng", công ty viết., RockYou có kế hoạch điều tra, xem xét và triển khai "các phương pháp mới để ngăn điều này xảy ra lần nữa". RockYou trích dẫn các bước sau:

Chúng tôi đang mã hóa tất cả các mật khẩu;

1. Chúng tôi đang nâng cấp nền tảng cũ với cùng cơ sở hạ tầng và các giao thức bảo mật tiêu chuẩn công nghiệp mà chúng tôi sử dụng trên nền tảng ứng dụng của đối tác;
2. các tính năng bảo mật dữ liệu và đảm bảo rằng chúng đáp ứng các tiêu chuẩn của ngành và các phương pháp hay nhất;
3. Chúng tôi đang hợp tác với các cơ quan liên bang để điều tra vi phạm bất hợp pháp cơ sở dữ liệu của chúng tôi.
4. Vụ kiện được nộp tại Tòa án quận Hoa Kỳ ở San Francisco, bao gồm chín tội, bao gồm sơ suất, vi phạm hợp đồng, vi phạm Luật về tội phạm máy tính của California và Đạo luật về thông tin vi phạm an ninh của California, trong số những người khác. Bộ đồ yêu cầu RockYou bảo vệ dữ liệu khách hàng, và cũng tìm kiếm “những thiệt hại không xác định.”

Với kiểu áp lực này đè xuống vai, RockYou nên nhanh chóng làm sạch hành động của nó. Nhưng nguyên tắc của vấn đề bị treo nặng: làm thế nào chúng ta có thể thưởng thức các ứng dụng mạng xã hội vô hại khi các vấn đề có thể biến bất ngờ chua? Sự thất bại của RockYou để bảo vệ khách hàng và chờ đợi 12 ngày trước khi thông báo cho bất kỳ ai về bản hack cho thấy một sự cẩu thả mà chỉ đơn giản là không nên tồn tại trong thời đại Internet này.