RockYou Dituntut Atas Pelanggaran Data

Seorang pria di Indiana mengirim pembuat aplikasi jejaring sosial yang populer sebagai "bakat besar" kemarin - dalam bentuk gugatan class action. Alan Claridge menggugat RockYou, pembuat spamtastic aplikasi Facebook dan MySpace seperti "Pieces of Flair" dan "SuperWall," setelah perusahaan mengakui telah kehilangan lebih dari 30 juta data identifikasi pribadi perorangan kepada seorang peretas.

Insiden - satu dari bencana data top 2009 - tidak diakui oleh RockYou selama hampir dua minggu.

[Bacaan lebih lanjut: Bagaimana cara menghapus malware dari PC Windows Anda]

Bagaimana Apakah Itu Hilang?

Ingat ketika dulu baik-baik saja menulis nama pengguna dan kata sandi komputer Anda pada catatan tempel dan menamparnya di monitor Anda? Oh benar - itu tidak pernah oke. Tapi pada dasarnya itulah yang RockYou lakukan dengan semua data rahasianya. Alih-alih mengenkripsi atau mengambil tindakan yang wajar untuk mempertahankan diri, RockYou menyimpan semua data pribadi yang tersimpan dalam file plaintext. Ya:.txt docs.

"RockYou dengan ceroboh dan dengan sengaja gagal mengambil bahkan langkah paling dasar untuk melindungi PII penggunanya (informasi identitas pribadi) dengan membiarkan data sepenuhnya tidak dienkripsi dan tersedia untuk semua orang dengan serangkaian peretasan dasar keterampilan untuk mengambil PII dari setidaknya 32 juta pelanggan, "gugatan menyatakan.

Jadi itu sangat mudah bagi hacker yang dikenal sebagai" igigi "untuk mengeksploitasi kerentanan injeksi SQL RockYou (pada dasarnya" coding miskin "). Anda mungkin ingat istilah itu dari awal tahun ini ketika Heartland Payment Systems melaju dengan jutaan dan jutaan nomor kartu kredit. Menurut salinan gugatan yang diperoleh Wired, "igigi" bergegas pergi dengan "e-mail dan kata sandi dari sekitar 32 juta pengguna RockYou yang terdaftar."

Apa yang Anda lakukan?

Tidak terlalu banyak, menurut setelan. Claridge menerima e-mail dari RockYou pada 16 Desember yang memberi tahu dia bahwa informasinya mungkin telah dikompromikan. Sementara itu, 12 hari sebelumnya, RockYou menemukan kerentanannya sendiri dan mematikan situsnya.

Apa Selanjutnya?

Sebagai permulaan, RockYou menerbitkan permintaan maaf / penjelasan tentang serangan di situs Web-nya. "Privasi dan keamanan data pengguna kami selalu menjadi prioritas untuk RockYou dan kami berusaha untuk menjaga keamanannya. Pengguna kami memiliki keyakinan dalam layanan kami dan kami akan terus memastikan bahwa kepercayaan itu layak," tulis perusahaan., RockYou berencana untuk menyelidiki, meninjau, dan menerapkan "praktik baru untuk mencegah hal ini terjadi lagi." RockYou mengutip langkah-langkah berikut:

1. Kami mengenkripsi semua kata sandi;
2. Kami sedang meningkatkan platform legacy dengan infrastruktur dan protokol keamanan standar industri yang sama yang kami gunakan pada platform aplikasi mitra kami;
3. Kami sedang meninjau saat ini fitur keamanan data dan memastikan bahwa mereka memenuhi standar industri dan praktik terbaik; dan
4. Kami bekerja sama dengan otoritas Federal untuk menyelidiki pelanggaran ilegal atas basis data kami.

Gugatan, yang diajukan di Pengadilan Distrik AS di San Francisco, berisi sembilan tuduhan, termasuk kelalaian, pelanggaran kontrak, pelanggaran UU Kejahatan Komputer California, dan Undang-undang Informasi Pelanggaran Keamanan California, antara lain. Gugatan itu menuntut bahwa RockYou melindungi data pelanggan, dan juga mencari "kerusakan yang tidak ditentukan."

Dengan tekanan semacam ini yang menekan bahunya, RockYou harus segera membersihkan aksinya. Tetapi prinsip masalah ini berat: bagaimana kita seharusnya menikmati aplikasi jejaring sosial yang tidak berbahaya ketika masalah bisa berubah secara tak terduga? Kegagalan RockYou untuk melindungi pelanggan dan penantian 12 hari sebelum menginformasikan kepada siapa pun dari peretasan mengekspos strain kelalaian yang seharusnya tidak ada di era Internet ini.