导语:2018年7月7日,Timehop公布了一个涉及2100万用户的数据泄露新闻,根据介绍泄漏的数据包括用户名和相关联邮件地址。
2018年7月7日,Timehop公布了一个涉及2100万用户的数据泄露新闻,根据介绍泄漏的数据包括用户名和相关联邮件地址。
Timehop可以将你的社交媒体帐户与你存放回忆的其他地方比如你的Dropbox照片、iPhone等等连接在一起。然后,Timehop每天就会向你显示一张“去年今日”、“前年今日”以及“多年前的今日”的快照。Timehop的首席执行官兼联合创始人乔纳森•韦格纳(Jonathan Wegener)将这些内容称作“你的数字档案”。
根据调查,攻击者早在去年12月份利用窃取的管理员凭证访问了Timehop的云存储端,并在之后进行了连续的模拟攻击,最后选择在今年的7月4日发动了攻击。更要紧的是,大约有五分之一的用户(即470万用户)泄露的信息中还附带了他们的手机号。
不过根据公司的通告,他们在2小时19分钟后就将受到攻击的服务器关闭了,以避免造成更大的攻击范围。目前可以确定,所有相关联的社交媒体、金融数据、照片以及Timehop平常从第三方社交网络中提取的数据都没有受到影响。
Timeho于7月7日(也就是遭受攻击后的第三天)公开了这次攻击的详情,这与欧盟新实施的GDPR不无关系。Timehop表示,目前它们还在对此事进行调查,最新的调查结果他们会尽快向用户和合作伙伴发布通告。
Timehop承认,黑客已经获到了其云计算环境的访问凭证。这意味着,Timehop必须让所有的现有访问凭证变为无效,在用户下次访问时,需要对其应用进行重新授权和验证才能继续使用。
不过,安全漏洞还是暴露了Timehop使用的访问令牌,攻击者可以使用他们访问相关联的其他社交网络,如Twitter,Facebook和Instagram。 Timehop目前只能试图淡化问题,解释说这些访问令牌已无效。
另外,Timehop警告其用户在重新登录时提供了一个原来注册的电话号码,以用于对其采取额外的安全预防措施,确保没有进行关联攻击。目前该公司现已采取措施提高其架构的安全性,包括采用多因素身份验证来保护所有帐户的授权和访问控制。