Timehop сообщил об утечке данных 21 млн пользователей

11 июля 2018 г., среда

Злоумышленники взломали сервис для хранения «цифровых воспоминаний» получили доступ к маркерам доступа пользователей.

Сервис “цифровых воспоминаний” Timehop обнародовал взлом своих облачных хранилищ, произошедший 4 июля и приведший к утечке данных 21 млн пользователей — практически всей клиентской базы компании. Злоумышленникам удалось похитить маркеры доступа, имена и адреса электронной почты, а также прикрепленные к учетным записям номера телефонов. Последние указала только пятая часть пользователей — 4,7 млн человек.

Мобильное приложение Timehop появилось в 2011 году. Оно собирает в единый архив сообщения и фотографии из Facebook, Instagram, Twitter, Foursquare, Dropbox и помогает вспомнить, что происходило в определенный день в прошлом. Для связи учетной записи в сервисе с аккаунтами в социальных сетях Timehop использует специальные ключи — маркеры доступа. Они позволяют приложению читать и показывать старые записи. Личные сообщения при этом остаются недоступны.

“У нас нет доказательств того, что данными как-то воспользовались, — сообщила команда сервиса. — Мы деактивировали все ключи доступа, и теперь они бесполезны. Timehop обратился за помощью к фирме по кибербезопасности, которая ищет свидетельства применения украденных email-адресов, номеров телефонов и имен пользователей, однако пока ничего не обнаружила. Вероятнее всего, в ближайшее время они появятся в даркнете“.

Сервис заметил вторжение 4 июля в 21:04 МСК, однако заблокировать атаку смог только через 2 часа. Расследование показало, что в первый раз злоумышленники проникли в облачное хранилище еще 19 декабря 2017 года, когда получили доступ к учетной записи администратора. Они заходили туда еще несколько раз в декабре, марте и июне, вероятнее всего, чтобы провести предварительную разведку.

По мнению специалистов компании, случившееся стало возможным потому, что в базе данных не применялась двухфакторная аутентификация. Сервис пообещал, что теперь она станет обязательной.

Timehop подчеркивает, что ущерб мог бы быть значительно больше, если бы компания запрашивала больше данных.

“Мы не храним номера ваших кредитных карт и какую-либо финансовую информацию, IP-адреса, данные о местоположении и копии профилей в социальных сетях, мы отделяем ваши регистрационные сведения от контента — и удаляем копии ваших воспоминаний после того, как вы их просмотрите”.

Сервис создал новые маркеры доступа для всех пользователей. Чтобы получить их, необходимо заново авторизоваться в приложении и подтвердить каждую учетную запись в социальных сетях.

Компания ведет расследование совместно с местными и федеральными правоохранительными органами. Так как у сервиса много клиентов в Евросоюзе, он также в соответствии с новым законом о защите данных сообщил об утечке европейским специалистам по GDPR (General Data Protection Regulation).

Threatpost