ソーシャルゲームウェブサイト「RockYou」は、米国連邦取引委員会(FTC)による係争中の訴訟に対し、25万ドルの民事制裁金とその他の譲歩により和解することに合意した。RockYouは2009年にデータ侵害の被害に遭い、3,200万人のユーザーの個人情報がハッカーに漏洩した。
譲歩には、プライバシーとデータセキュリティに関する虚偽の主張を行わないこと、データセキュリティプログラムを維持すること、児童オンラインプライバシー保護法 (COPPA) に違反しないことなどが含まれます。
FTCはRockYouに対する訴状の中で、同社が17万9000人の子供から情報を収集したと主張しました。連邦法では、13歳未満の子供の個人情報を親の同意なしに収集、使用、開示することを禁じています。RockYouがウェブサイトの利用を希望するユーザーから収集する情報には、生年月日が含まれています。
FTC の RockYou に対する措置は、企業が消費者のデータを保護するという主張を必ず守らせるよう同局が行っている広範なキャンペーンの一環だ。
2009年11月に大規模なデータ漏洩が発覚した後、RockYouを処罰しようとしたのはFTCだけではありませんでした。インディアナ州在住のアラン・クラリッジ氏も同社を相手取って訴訟を起こしました。この訴訟は最終的に、2,000ドルの損害賠償と弁護士費用29万ドルの支払いで和解しました。
RockYouの侵害は、その規模の大きさだけでなく、パスワードの不適切な使用例でもありました。RockYouのメンバーが使用していたパスワードを調査したところ、12345、123456、password、rockyouなど、単純なパスワードが圧倒的に多かったことが分かりました。
調査によると、最もよく使用される 5,000 個のパスワードの辞書を使用すると、ブルート フォース攻撃によって 17 分ごとに 1,000 個のパスワードを解読できる可能性があることが判明しました。
フリーランスのテクノロジーライター John P. Mello Jr. と Today@PCWorld を Twitter でフォローしてください。
