Aanvallers zijn erin geslaagd om via SQL-injectie de wachtwoorden van 32,6 miljoen Facebook en MySpace gebruikers te bemachtigen. De kwetsbaarheid trof alleen gebruikers van de sociale netwerksites die ook widgets van RockYou gebruikten. Niet alleen was de website van RockYou lek, voorheen bekend als RockMySpace, maar waren de wachtwoorden als platte tekst opgeslagen. Uit voorzorg wordt gebruikers geadviseerd om het wachtwoord van MySpace en Facebook, alsmede hun e-mail en andere online diensten te wijzigen. RockYou bewaarde in de database namelijk ook de inloggegevens van andere partnersites. De website zou tevens het gebruik van korte wachtwoorden van 5 tot maximaal 15 karakters hebben toegestaan, wat de beveiliging ook niet ten goede komt, maar in het geval van het opslaan als platte tekst niet veel uitmaakt.

Talloze mensen gebruiken nog altijd dezelfde inloggegevens voor verschillende accounts, waarschuwt Imperva dat het lek bekend maakte. De aanval zou al veel eerder hebben plaatsgevonden. RockYou zegt zelf dat het op 4 december werd ingelicht dat de database was gestolen. Daarop werd de site uit de lucht gehaald en het SQL-injectie lek verholpen, maar de gegevens kon het niet meer redden.

Shitty shite
Na de blogposting van Imperva plaatste de vermoedelijke aanvaller een bericht online, met gegevens die tijdens de aanval zijn buitgemaakt. "Ik heb elk account van deze shitty site gedownload. Je was te langzaam, maar wat kan ik van je verwachten. Lieg niet tegen je klanten, of ik zal alles publiceren." Volgens de aanvaller zullen veel van de gegevens ook op andere sites werken.

RockYou heeft inmiddels een verklaring online gezet en zal alle gebruikers via e-mail waarschuwen. "Zoals je weet neemt RockYou de privacy van onze gebruikers zeer serieus. We doen veel moeite om de gegevens van onze gebruikers tegen datalekken en aanvallen te beschermen." Opmerkelijk genoeg nam RockYou wel tien dagen de tijd om gebruikers te waarschuwen.