RockYou zaradi malomarnega ravnanja z uporabniškimi podatki oglobljen z 250 tisoč dolarji

RockYou, podjetje, ki izdeluje spletne družabne igre (ena bolj znanih, ki je integrirana v Facebook, je Vampires), je konec leta 2009 doživelo resen šok, ko je neznan heker z uporabo SQL vrivanja odtujil rekordno količino 32 milijonov uporabniških imen, gesel in e-poštnih naslovov. RockYou se ni držal niti osnovnih dobrih praks, saj je hranil gesla kar v čitljivi obliki, pri ustvarjanju gesla pa stran ni dovoljevala "posebnih" znakov kot so na primer #, ! ali %, kar precej zmanjša moč gesel. Porazna pa je bila tudi reakcija RockYou, saj so uporabnike o vdoru in kraji podatkov obvestili šele 12 dni kasneje, ko so lahko hekerji ukradena gesla že uporabili drugje.

RockYou je kasneje zaradi malomarnega ravnanja z uporabniškimi podatki tožil uporabnik Alan Claridge, Slashdot pa poroča, da se je včeraj RockYou pogodil s FTC, ki ga je oglobil za 250 tisoč dolarjev. Pri tem velja omeniti, da je bil RockYou oglobljen predvsem zaradi kršenja zakona COPPA. Po tem zakonu morajo namreč skrbniki spletnih strani za zbiranje osebnih podatkov otrok mlajših od 13 let pridobiti soglasje staršev, RockYou pa tega soglasja ni imel.

Še enkrat, gesel se ne shranjuje v čitljivi obliki ali z uporabo katerih od hash funkcij (MD5, SHA), ki so zaradi časovne nezahtevnosti občutljive na razbijanje z grobo silo, ampak raje uporabite PBKDF2 ali Bcrypt.