Timehop黑客攻击；黑客窃取了所有2100万用户的个人数据

黑客们还在继续。



Timehop是一款简单的社交媒体应用程序，可以从iPhone、Facebook、Instagram、Twitter和Foursquare上收集你的旧照片和帖子，并充当数字时间机器，帮助你找到—；一年前的今天你在做什么。

该公司周日透露，未知攻击者成功侵入其云计算环境，并访问了2100万用户的全部数据，包括他们的姓名、电子邮件地址，以及他们账户上的大约470万个电话号码。

该公司在其网站上发布的一份安全咨询中写道：“我们在入侵仍在进行中时获悉，并能够中断，但数据被窃取。一些数据被入侵。”。

社交媒体OAuth2代币也遭到了破坏

此外，攻击者还获得了其他社交网站向Timehop提供的授权令牌（密钥），用于访问您的社交媒体帖子和图像。

有了这些代币，黑客可以在未经你许可的情况下查看你在Facebook和其他社交网络上的一些帖子。

然而，Timehop声称，在该公司于东部时间7月4日下午4:23在其网络上检测到漏洞后，所有被泄露的代币都被取消授权，并在“短时间窗口”内失效。

被盗的访问令牌现在无法用于访问您的任何社交媒体档案，该公司还声称“没有证据表明这确实发生了”

该公司表示：“除了与当地和联邦执法部门进行沟通外，我们还与所有社交媒体提供商保持联系，并将根据需要更新用户信息，但同样：没有可靠的报告，也没有证据表明这些访问令牌有任何未经授权的使用。”。

还应该注意的是，这些授权令牌不会让任何人（包括公司本身）访问你在Facebook Messenger上的私人消息、在Twitter和Instagram上的直接消息，以及你的朋友在Facebook墙上发布的内容。

Timehop还确信，安全漏洞不会影响您的私人/直接消息、财务数据、社交媒体和照片内容，以及其他Timehop数据，包括条纹和记忆。

Timehop还指出，没有证据表明任何账户未经授权就被访问。

缺乏双因素认证导致数据泄露

Timehop表示：“之所以出现漏洞，是因为我们的云计算环境的访问凭证被泄露。”。

就在Timehop发现其网络漏洞的同一天，我们报告了Gentoo GitHub帐户黑客攻击事件，该事件允许入侵者在猜到帐户密码后，将项目存储库和页面的内容替换为恶意内容。

Gentoo的Github帐户缺乏双因素身份验证（2FA），这助长了Gentoo的漏洞。2FA规定，用户必须输入密码之外的其他密码才能访问该帐户。

Timehop也是如此。

由于该公司没有使用双因素身份验证，攻击者能够通过使用泄露的凭据访问其云计算环境。

Timehop现在已经采取了一些新的安全措施，包括全系统多因素身份验证，以确保其对所有帐户的授权和访问控制。

Timehop在公司宣布所有API凭据无效后立即注销了应用程序的所有用户，这意味着当您登录Timehop帐户生成新令牌时，您需要重新验证应用程序中的每个社交媒体帐户。

该公司还与安全专家、事件响应专业人士、地方和联邦执法官员以及社交媒体提供商合作，将违规行为对用户的影响降至最低。

由于新的GDPR隐私法将违规行为定义为“可能对个人权利和自由造成风险”，Timehop声称已通知所有受影响的欧洲用户，并与GDPR专家密切合作，以协助采取应对措施。