RockYou Veri İhlali Üzerine Geçti

Bir Indiana adamı, popüler bir sosyal ağ uygulaması yapıcısına dün büyük bir "yetenek parçası" gönderdi - bir sınıf eylemi davası şeklinde. Alan Claridge, şirket 30 milyondan fazla kişinin kişisel kimlik verilerini bir bilgisayar korsanına kaybettiğini kabul ettikten sonra spamtastic Facebook ve MySpace uygulamalarının yaratıcıları olan “Piece of Flair” ve “SuperWall” gibi yaratıcıları RockYou'ya dava açtı.

Olay - bir 2009'un en büyük veri felaketlerinden biri - yaklaşık iki hafta boyunca RockYou tarafından onaylanmadı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Nasıl Kaybedildi?

Ne zaman kullanıldığını hatırla Bilgisayarınızın kullanıcı adını ve şifresini yapışkan bir not üzerine yazmak ve ekranınıza tokatlamak için? Oh doğru - bu asla oldu. Ama bu temelde Rock'in tüm gizli verileriyle ne yaptığını. Kendini savunmak için şifrelenmek ya da herhangi bir makul önlem almak yerine, tüm kişisel verilerini düz metin dosyalarında sakladı. Evet:.txt docs.

"RockYouzca ve bilerek, kullanıcılarını tamamen kişisel olarak şifrelenmiş halde bırakarak ve temel bir bilgisayar korsanlığı olan herhangi bir kişi için mevcut olan kişisel bilgilerini (kişisel olarak tanımlanabilir bilgileri) korumak için en temel adımları bile atmayı başaramadınız. En az 32 milyon müşterinin PII'yi alma becerisi, "davalar.

Bu yüzden" igigi "olarak bilinen hacker için RockYou'nun SQL enjeksiyon zafiyetlerini (temelde" zayıf kodlama ") kullanması son derece kolaydı. Bu yılın başlarında Heartland Payment Systems'ın milyonlarca ve milyonlarca kredi kartı numarasına sahip olduğu dönemi hatırlayabilirsiniz. Kablolu tarafından alınan davanın bir kopyasına göre, "igigi", "yaklaşık 32 milyon kayıtlı RockYou kullanıcısının e-postaları ve şifreleri" ile şaşkına döndü.

RockYou ne yaptı?

Çok fazla değil, takım elbise. Claridge, 16 Aralık'ta RockYou'dan e-posta aldığını ve onun bilgilerinin ihlal edildiğini bildirmiştir. Bu arada, 12 gün önce, RockYou kendi güvenlik açıklarını keşfetti ve siteyi kapattı.

Sırada Ne Var?

Yeni başlayanlar için RockYou, saldırısını Web sitesinde bir özür / açıklama yayınladı. "Kullanıcılarımızın gizliliği ve veri güvenliği her zaman RockYou için öncelikliydi ve onları güvende tutmaya çalışıyoruz. Kullanıcılarımız hizmetlerimize güveniyor ve güvenin hak edilmesini sağlamaya devam edeceğiz," diyor şirket., RockYou bunun gerçekleşmesini önlemek için yeni uygulamaları araştırmayı, incelemeyi ve uygulamayı planlıyor. RockYou şu adımları attı:

1. Tüm parolaları şifreliyoruz;
2. Eski platformu, ortak uygulama platformlarımızda kullandığımız aynı altyapı ve endüstri standardı güvenlik protokolleri ile yükseltiyoruz.
3. Güncelliğimizi inceliyoruz veri güvenliği özellikleri ve endüstri standartlarını ve en iyi uygulamaları karşıladıklarını garanti etmek; ve
4. Veritabanımızın yasadışı ihlalini araştırmak için Federal yetkililerle işbirliği yapıyoruz.

San Francisco'daki ABD Bölge Mahkemesinde açılan davada, ihmal, sözleşmenin ihlali, ihlali dahil olmak üzere dokuz sayı bulunuyor. Kaliforniya'nın Bilgisayar Suçu Yasası ve diğerlerinin yanı sıra Kaliforniya'nın Güvenlik İhlali Bilgi Yasası. Kıyafet, RockYou'nun müşteri verilerini koruduğunu ve “belirtilmemiş zararlar” aramasını istiyor.

Omuzlarına baskı uygulayan bu tür bir baskıyla RockYou çabucak hareketlerini temizlemeli. Ancak meselenin ilkesi ağırlaşıyor: Önemli beklenmedik bir şekilde ekmeğe dönüştüğü zaman nasıl zararsız sosyal ağ uygulamalarının keyfini çıkarmamız gerekiyor? RockYou'nun müşterilerini korumadaki başarısızlığı ve hack'in herhangi birisini bilgilendirmeden önce 12 günlük bekleme süresi, bu İnternet çağında olmaması gereken bir ihmal gerginliği ortaya çıkarmaktadır.