Популярный сервис Timehop, созданный еще в 2011 году, это своеобразная «машина времени» для пользователей социальных сетей. Он позволяет узнать, что пользователь или его друзья публиковали несколько лет тому назад, собирая информацию из Facebook, Instagram, Twitter и даже фотографий в Dropbox.
В минувшее воскресенье компания сообщила, что 4 июля 2018 года Timehop подвергся атаке неизвестных злоумышленников, и в результате произошла утечка данных 21 млн человек, то есть практически всей пользовательской базы сервиса.
Представители компании сообщают, что обнаружили брешь, когда хакеры еще были активны, и сумели остановить утечку информации, однако для многих пользователей было уже слишком поздно. Неизвестным удалось похитить email-адреса, имена и телефонные номера 21 млн пользователей.Стоит сказать, что телефонные номера были указаны лишь в 22% случаев, то есть для 4,7 млн человек.
Кроме того, скомпрометированы оказались «ключи, которые позволяют Timehop читать и показывать записи из социальных медиа (но не личные сообщения)». Разработчики уверяют, что все ключи уже деактивированы и более не работают, а пользователям нужно заново пройти аутентификацию в приложении.
В официальном сообщении подчеркивается, что эти токены не дают никому (включая сам Timehop) права доступа к Facebook Messenger или личным сообщениям в Twitter или Instagram. Доступ предоставляется лишь к обычным записям. Теоретически во время инцидента был короткий период времени, на протяжении которого неавторизованные пользователи, то есть злоумышленники, могли получить доступ к таким записям пострадавших. Впрочем, доказательств того, что это действительно произошло, пока нет.
Почти никаких технических подробностей об инциденте пока не сообщается, так как компания продолжает внутренний аудит и расследование, к которому привлечены местные и федеральные правоохранительные органы, а также сторонние киберкриминалисты.
Представители Timehop признают, что злоумышленники сумели проникнуть в систему из-за компрометации учетных данных для одного из «облачных» аккаунтов. Дело в том, что учетная запись не была защищена мультифакторной аутентификацией, и лишь теперь в компании решили озаботиться дополнительной защитой авторизации и средствами управления доступом.
