Outro dia, outra violação de dados. Desta vez, afetou 21 milhões de usuários do popular aplicativo Time Capsule Timehop.

A Timehop ​​revelou que o ataque, que ocorreu em 4 de julho, expôs os dados pessoais, incluindo nomes e endereços de email, de praticamente toda a sua base de usuários. Dos afetados, um quinto - 4,7 milhões - também tinha um número de telefone anexado à sua conta.

O aplicativo funciona conectando suas contas de mídia social, como Facebook, Twitter e Instagram, para criar postagens de anos passados. De acordo com a startup, o hacker conseguiu pegar chaves e tokens que o aplicativo usa para acessar e exibir memórias de mídia social..

Como o assalto caiu

O hacker conseguiu entrar na conta de cloud computing da Timehop, que não era protegida por autenticação multifatorial - uma medida de segurança básica que faltava.

Uma investigação preliminar do incidente revelou que o atacante primeiro acessou o ambiente de nuvem da Timehop ​​em 19 de dezembro do ano passado usando credenciais de administrador comprometidas e criou uma nova conta de administrador. O atacante voltou para dar uma olhada em dezembro, depois em março deste ano, seguido por outra pesquisa em junho, embora o ataque não tenha ocorrido até o dia 4 de julho..

A Timehop ​​diz que a violação foi descoberta duas horas após ter sido iniciada e foi capaz de interromper a transferência de dados, embora não a tempo de impedir que os dados do usuário fossem roubados..

De acordo com a startup, as mensagens privadas dos usuários, os dados financeiros, o conteúdo de mídia social e os dados do Timehop ​​não foram comprometidos, uma vez que exclui cópias de postagens e fotos antigas depois de visualizadas. A empresa também não armazena informações como detalhes do cartão de crédito, locais e endereços IP..

As conseqüências

Os tokens de acesso e os dados do usuário da Timehop ​​ainda não apareceram em fóruns e na web escura, mas a empresa contratou especialistas em segurança cibernética para verificar se eles funcionam. Até agora, nenhum acesso não autorizado foi relatado em qualquer conta e todas as chaves foram desativadas.

O Timehop, entretanto, permitiu a autenticação multifatorial em “todas as contas que ainda não as tinham para todos os serviços baseados em nuvem,” significando que possivelmente havia mais de uma conta de administrador para os invasores obterem acesso com.

“Queremos deixar claro que esses tokens não dão a ninguém (incluindo o Timehop) acesso ao Facebook Messenger, ou mensagens diretas no Twitter ou no Instagram, ou coisas que seus amigos postam em seu mural do Facebook. Em geral, o TimePoker só tem acesso a postagens de mídia social que você publica no seu perfil,” a empresa disse através de um post no blog.

Em sua defesa, a empresa diz, “Não existe algo perfeito quando se trata de segurança cibernética, mas estamos comprometidos em proteger os dados do usuário. Assim que o incidente foi reconhecido, iniciamos um programa de atualizações de segurança,” o que talvez seja um pouco tarde demais.

  • Não importa a violação de dados - o Facebook agora permite que você rabisque em realidade aumentada