Billede: Timehop
Timehop, en app, der minder sociale medier brugere om stillinger fra deres fortid, har oplyst, at det har en større sikkerhedsbrud på 4 juli. Ifølge virksomheden, 21 millioner brugere havde en eller anden form for personlige data stjålet. Angriberne var også i stand til at hente access tokens, der ville have gjort dem i stand til at se brugernes indlæg på Facebook, Instagram, Twitter og Foursquare.
På søndag, Timehop udgivet et blogindlæg, hvor det beskrev en brud, der fandt sted på 2:04 PM på Independence Day. Det er bemærkelsesværdigt, at dets cloud-servere ikke var beskyttet af multi-faktor-autentificering, en sikkerhedsprotokol, der bør betragtes som en standard for enhver virksomhed. De hackere, der siges at have haft adgang til Timehop system for lidt over to timer.
Selskabet har offentliggjort en detaljeret tidslinje over sin reaktion, men de fleste brugere vil gerne vide, hvad der blev stjålet, og hvad de skal gøre næste. Navne og e-mail-adresser, der er forbundet med 21 millioner konti er blevet stjålet og 4,7 millioner af de konti, som havde et telefonnummer. Det ville være slemt nok, men hvad kunne være mere bekymrende er, at de ubudne gæster var i stand til at tage kontrol af access tokens Timehop bruger til at trække oplysninger fra sociale medier. Teoretisk, disse poletter kunne bruges til at se (og skrabe) sociale medier indlæg, der ikke er offentliggjort, men Timehop hævder, at det deaktiveret tokens hurtigt, og der er ingen dokumentation for, at enhver regnskaber var adgang til det.
I det øjeblik, vi er nødt til at tage Timehop ord på, hvor væsentlig dette brud var, og hvor mange oplysninger der blev indhentet. I sin tekniske rapport, betyder det sige, at en uautoriseret bruger først adgang til sin cloud computing udbyder på December 19, 2017, til at udføre rekognoscering. De gjorde dette på fire andre lejligheder uden at blive opdaget.
Selskabet siger, at det hyret en ekstern cybersecurity incident response selskab til at foretage en revision af sit system, kontaktede retshåndhævelse, og arbejder med de sociale medier partnere til at fortsætte med at overvåge for nye overtrædelser. “Ingen finansielle data, private beskeder, direkte beskeder, bruger billeder, bruger sociale medier, indhold, social security-numre, eller andre personlige oplysninger er blevet tilsidesat,” Timehop hævdede.
For at være sikker, kan brugere, der er logget ind Timehop med et telefonnummer, bør kontakte deres celle, angive en ny adgangskode, og spørg, hvis der er nogen andre sikkerheds-foranstaltninger til rådighed. Alle brugere, der ønsker at logge ind Timehop bliver nødt til at bekræfter igen den service social media access på grund af den deaktiveret tokens.
Igen, denne nyhed er en påmindelse om, at give en tredjepart adgang til dine sociale medier data sætter en masse tillid i app ‘ en og er generelt bare en dårlig idé.
[Timehop, Teknisk rapport via MacRumors]