RockYou首席技术官：现在做最坏的打算 首席技术官, RockYou

zclzhao

社交应用开发商RockYou今天证实，已经正式通知其数百万用户他们的用户名和密码可能已被黑客获取，该黑客入侵了该公司被称为widgets的老应用。
RockYou首席技术官沈佳在接受专访时称，上周安全公司Imperva职员曾提醒RockYou，发现存在针对RockYou.com的SQL注入攻击。RockYou关闭了其传统应用的网站，并对它们进行安全加固。

这个过程大约花了一天时间。然后公司开始仔细检查自己的数据库，以发现任何被攻击的证据。沈佳表示，公司不清楚黑客在攻击中都做了什么。公司正在与执法部门联系，但他没有透露更多信息。

沈佳表示，“我们现在做最坏的打算，我们检查日志后发现，我们接到告警的前几天，攻击行为就已经开始进行。”

事实上，此前黑客已经公布了部分被盗的用户名和密码。沈佳证实称，这些都是来自RockYou数据库的合法密码，但他不知道究竟有多少帐号信息被盗。他强调称，RockYou目前的Facebook应用和它的广告网络未被攻击，而且不容易受到同类攻击的威胁。在RockYou转型为 Facebook应用开发商之前，widgets是其主要业务。

沈佳称，“我们花了很长时间来开发widgets，其代码编写时间要早于Facebook平台，我们现在遭到了很多指责。但我想澄清，除了widgets之外，RockYou其它应用没有受到影响。”

尽管如此，沈佳认为这次攻击所带来的影响非常严重。举例来说，如果用户在其使用的每一个网站上都使用相同用户名和密码，包括他们的网络银行账号，他们就很可能面临身份信息被盗的风险。

据一用户称，此前RockYou就和其它网站一样非常容易被攻击。沈佳表示，以前他没有接到过widgets存在易被SQL注入攻击的风险告警。

他表示，“我们最初是一个小公司，现在我们拥有不同的工程架构。但是此次安全事故令我们蒙羞。如果你犯了一个错，那么别人就有趁虚而入，何况这是个大漏洞。”

沈佳承认，用户名和密码被存储在未经加密的数据库中，这是另外一个安全大忌。这就是黑客能够直接获得密码的原因所在。公司已经开始通知用户，但还需要一段时间才能通知完。沈佳承认公司曾在10天内未公开表态，但他们在那段时间一直在忙于通知用户和合作伙伴。

该公司正在通知用户修改自己在RockYou网站上的密码，以及修改那些其他网站上相同的密码信息。

沈佳表示，“未来我们的安全措施肯定将更强壮。”