RockYou Sued Plus de violation de données

Un homme de l'Indiana a envoyé un fabricant d'applis de réseautage social populaire un grand «morceau de flair» hier - sous la forme d'un recours collectif. Alan Claridge a poursuivi RockYou, créateurs d'applications spamtastic Facebook et MySpace comme « Pièces de Flair » et « SuperWall, » après que la compagnie a admis avoir perdu plus de données d'identification personnelles de 30 millions de personnes à un pirate informatique

L'incident -. Un des principales catastrophes de données de 2009 - est allé non reconnue par RockYou pendant presque deux semaines

[pour en savoir plus: Comment supprimer les logiciels malveillants de votre PC Windows]

Comment était-il perdu

Rappelez-vous quand il l'habitude d'être d'accord.? écrire le nom d'utilisateur et le mot de passe de votre ordinateur sur un pense-bête et le claquer sur votre moniteur? Oh, c'est vrai - c'était jamais d'accord. Mais c'était essentiellement ce que RockYou a fait avec toutes ses données confidentielles. Au lieu de crypter ou de prendre toutes les mesures raisonnables pour se défendre, RockYou a gardé toutes ses données personnelles stockées dans des fichiers en clair. Oui. Txt docs

"RockYou imprudemment et sciemment omis de prendre même les mesures les plus élémentaires pour protéger les données personnelles de ses utilisateurs (informations personnelles) en laissant les données entièrement non crypté et disponible pour toute personne ayant un ensemble de base de piratage »

Il était donc très facile pour le hacker connu sous le nom d '« igigi »d'exploiter les vulnérabilités d'injection SQL de RockYou (essentiellement un« mauvais codage »). Vous vous souvenez peut-être de ce terme de plus tôt cette année, lorsque Heartland Payment Systems est allé à whoopsie avec des millions et des millions de numéros de cartes de crédit. Selon une copie du procès obtenu par Wired, « igigi » détala avec « les e-mails et mots de passe d'environ 32 millions d'utilisateurs RockYou enregistrés. »

Qu'est-ce Est-ce RockYou faire?

Pas trop, selon le costume. Claridge a reçu un courriel de RockYou le 16 décembre l'informant que ses informations pourraient avoir été compromises. Pendant ce temps, 12 jours plus tôt, RockYou a découvert ses propres vulnérabilités et a fermé son site.

Et ensuite?

Pour commencer, RockYou a publié une excuse / explication de l'attaque sur son site Web. "La confidentialité et la sécurité des données de nos utilisateurs ont toujours été une priorité pour RockYou et nous nous efforçons de les maintenir en sécurité.Nos utilisateurs ont confiance en nos services et nous continuerons à veiller à ce que la confiance soit méritée", écrit l'entreprise., RockYou prévoit d'enquêter, d'examiner et de mettre en œuvre «de nouvelles pratiques pour éviter que cela ne se reproduise». RockYou a cité les étapes suivantes:

1. Nous chiffrons tous les mots de passe;
2. Nous mettons à jour la plate-forme existante avec la même infrastructure et les mêmes protocoles de sécurité standard que nous employons sur nos plates-formes d'applications partenaires; les fonctions de sécurité des données et s'assurer qu'elles répondent aux normes et aux meilleures pratiques de l'industrie; et
3. Nous coopérons avec les autorités fédérales pour enquêter sur la violation illégale de notre base de données.
4. Le procès, qui a été déposé devant le tribunal de district de San Francisco, contient neuf chefs d'accusation: négligence, rupture de contrat, violation de La loi californienne sur les délits informatiques, et la loi californienne sur les informations sur la violation de la sécurité, entre autres. Le costume exige que RockYou protège les données des clients, et cherche également "des dommages non spécifiés."

Avec ce genre de pression sur ses épaules, RockYou devrait rapidement nettoyer son acte. Mais le principe de la question est lourd: comment sommes-nous censés profiter des applications de réseautage social inoffensif lorsque les choses peuvent tourner de manière inattendue sourde? L'incapacité de RockYou à protéger ses clients et son attente de 12 jours avant d'informer quiconque de ce hack expose une forme de négligence qui ne devrait tout simplement pas exister à l'ère de l'Internet.