RockYou demandó a Data Breach

Un hombre de Indiana envió a un popular fabricante de aplicaciones de redes sociales un gran "toque" ayer, en la forma de una demanda colectiva. Alan Claridge demandó a RockYou, creadores de aplicaciones Facebook y MySpace no deseadas como "Pieces of Flair" y "SuperWall", después de que la compañía admitiera haber perdido más de 30 millones de datos de identificación personal de un hacker.

The incident - one de los principales desastres de datos de 2009: RockYou no lo reconoció durante casi dos semanas.

[Más información: cómo eliminar el malware de su PC con Windows]

¿Cómo se perdió?

Recuerde cuando estaba bien para escribir el nombre de usuario y la contraseña de su computadora en una nota adhesiva y colocarla en su monitor? Ah, claro, eso fue nunca está bien. Pero eso fue básicamente lo que RockYou hizo con todos sus datos confidenciales. En lugar de encriptar o tomar cualquier medida razonable para defenderse, RockYou mantuvo todos sus datos personales almacenados en archivos de texto plano. Sí:.txt docs.

"RockYou imprudentemente y deliberadamente no tomó ni siquiera los pasos más básicos para proteger la PII de sus usuarios (información de identificación personal) al dejar los datos completamente descifrados y disponibles para cualquier persona con un conjunto básico de piratería informática habilidades para tomar la IPI de al menos 32 millones de clientes ", dice la demanda.

Por lo tanto, fue notablemente fácil para el hacker conocido como" igigi "explotar las vulnerabilidades de inyección SQL de RockYou (básicamente" codificación pobre "). Es posible que recuerde ese término de principios de este año, cuando Heartland Payment Systems se convirtió en un gran éxito con millones y millones de números de tarjetas de crédito. Según una copia de la demanda obtenida por Wired, "igigi" huyó con "los correos electrónicos y las contraseñas de aproximadamente 32 millones de usuarios registrados de RockYou".

¿Qué hizo RockYou?

No demasiado, según El traje. Claridge recibió un correo electrónico de RockYou el 16 de diciembre informándole que su información puede haber sido comprometida. Mientras tanto, 12 días antes, RockYou descubrió sus propias vulnerabilidades y cerró su sitio.

¿Qué sigue?

Para empezar, RockYou publicó una disculpa / explicación del ataque en su sitio web. "La privacidad y la seguridad de los datos de nuestros usuarios siempre han sido una prioridad para RockYou y nos esforzamos por mantenerlos seguros. Nuestros usuarios confían en nuestros servicios y continuaremos asegurándonos de que se merezca confianza", escribe la compañía.

Further, RockYou planea investigar, revisar e implementar "nuevas prácticas para evitar que esto vuelva a suceder". RockYou citó los siguientes pasos:

1. Estamos encriptando todas las contraseñas;
2. Estamos actualizando la plataforma heredada con la misma infraestructura y protocolos de seguridad estándar de la industria que empleamos en nuestras plataformas de aplicaciones asociadas;
3. Estamos revisando nuestra actual características de seguridad de datos y asegurando que cumplan con los estándares de la industria y las mejores prácticas; y
4. Estamos cooperando con las autoridades federales para investigar el incumplimiento ilegal de nuestra base de datos.

La demanda, que fue presentada en el Tribunal de Distrito de los Estados Unidos en San Francisco, contiene nueve cargos, incluyendo negligencia, incumplimiento de contrato, violación de La Ley de delitos informáticos de California y la Ley de información sobre violaciones de seguridad de California, entre otros. El traje exige que RockYou proteja los datos del cliente y también busque "daños no especificados".

Con este tipo de presión sobre sus hombros, RockYou debería limpiar rápidamente su situación. Pero el principio de la cuestión depende mucho: ¿cómo se supone que debemos disfrutar de aplicaciones de redes sociales inofensivas cuando las cosas se ponen tan inesperadamente agrias? La falla de RockYou en proteger a sus clientes y su espera de 12 días antes de informar a alguien del hack expone una tensión de negligencia que simplemente no debería existir en esta era de Internet.