Timehop ​​hackerato: gli hacker hanno rubato dati personali di tutti i 21 milioni di utenti

Timehop ​​hackerato: gli hacker hanno rubato dati personali di tutti i 21 milioni di utenti

Timehop ​​hackerato: gli hacker hanno rubato dati personali di tutti i 21 milioni di utenti

L’app di social media di Timehop ​​è stata colpita da una grave violazione dei dati del 4 luglio che ha compromesso i dati personali dei suoi oltre 21 milioni di utenti.

Timehop ​​è una semplice app per social media che raccoglie le tue vecchie foto e i tuoi post da iPhone, Facebook, Instagram, Twitter e Foursquare e funge da macchina del tempo digitale per aiutarti a trovare ciò che stavi facendo proprio oggi esattamente un anno fa.

La società ha rivelato nelle scorse settimane che un hacker sconosciuto è riuscito a penetrare nel suo ambiente di Cloud Computing e ad accedere ai dati di 21 milioni di utenti, inclusi i loro nomi, indirizzi email e circa 4,7 milioni di numeri di telefono collegati ai loro account.

“Abbiamo appreso della violazione mentre era ancora in corso e siamo stati in grado di interromperla, ma i dati sono stati presi. Alcuni dati sono stati violati”, ha scritto la società in un avviso di sicurezza pubblicato sul suo sito web.

Anche i token di social media OAuth2 sono compromessi

Inoltre, gli hacker hanno anche messo le mani sui token di autorizzazione forniti da altri siti di social network a Timehop ​​per avere accesso ai tuoi post e immagini sui social media.

Con l’accesso a questi token, gli hacker potrebbero visualizzare alcuni dei tuoi post su Facebook e altri social network senza la tua autorizzazione.

Tuttavia, Timehop ​​sostiene che tutti i token compromessi sono stati rimossi e resi non validi entro una “finestra temporale” dopo che la società ha rilevato la violazione sulla sua rete il 4 luglio alle 16:23 Eastern Time.

I token di accesso rubati non possono essere ora utilizzati per ottenere l’accesso a nessuno dei profili dei social media, e l’azienda sostiene inoltre che non ci sono “prove che ciò sia realmente accaduto”.

“Oltre alle nostre comunicazioni con le forze dell’ordine locali e federali, siamo anche in contatto con tutti i nostri fornitori di social media e aggiorneremo gli utenti in base alle necessità, ma ancora una volta: non ci sono rapporti credibili e non ci sono state prove di uso non autorizzato di questi token di accesso “, ha affermato la società.

Va inoltre notato che questi token di autorizzazione non concedono a nessuno, inclusa la società stessa, l’accesso ai messaggi privati ​​su Facebook Messenger, i messaggi diretti su Twitter e Instagram e le cose che i tuoi amici postano sulla bacheca di Facebook.

Timehop ​​è anche fiducioso che la violazione della sicurezza non ha influenzato i tuoi messaggi privati ​​/ diretti, i dati finanziari, i social media e i contenuti fotografici e altri dati di Timehop, inclusi striature e memorie.

Timehop ​​ha anche sottolineato che non vi era alcuna prova che fosse possibile accedere a qualsiasi account senza autorizzazione.

Violazione dei dati con la mancanza dell’autenticazione a due fattori

“La violazione è avvenuta perché le credenziali di accesso al nostro ambiente di cloud computing sono state compromesse”, ha affermato Timehop.

Lo stesso giorno in cui Timehop ​​ha identificato la violazione sulla sua rete, è stato segnalato l’ hacking dell’account GitHub Gentoo Linux che consentiva agli intrusi di sostituire il contenuto dei repository e delle pagine del progetto con quello malevolo, dopo aver indovinato la password dell’account.

La violazione di Gentoo Linux è stata aiutata dalla mancanza dell’autenticazione a due fattori (2FA) per il suo account Github. La 2FA rende obbligatorio per gli utenti inserire un passcode aggiuntivo oltre alla password per poter accedere all’account.

Lo stesso è successo con Timehop.

Poiché la società non utilizzava l’autenticazione a due fattori, gli hacker sono stati in grado di accedere al proprio ambiente di Cloud Computing utilizzando credenziali compromesse.

Timehop ​​ha ora adottato alcune nuove misure di sicurezza che includono l’autenticazione multifattoriale a livello di sistema per garantire la sua autorizzazione e i controlli di accesso su tutti gli account.

Timehop ​​ha immediatamente disconnesso tutti i suoi utenti dell’app dopo che la società ha invalidato tutte le credenziali dell’API, il che significa che dovrai autenticare nuovamente ciascuno dei tuoi account social media all’app quando accedi al tuo account Timehop ​​per generare un nuovo token.

La società sta inoltre collaborando con esperti di sicurezza e professionisti della risposta agli incidenti, funzionari delle forze dell’ordine locali e federali e i suoi fornitori di social media per ridurre al minimo l’impatto della violazione sui propri utenti.

Poiché la nuova legge sulla privacy di GDPR definisce una violazione come “suscettibile di comportare un rischio per i diritti e le libertà delle persone”, Timehop ​​dichiara di aver notificato tutti i suoi utenti europei interessati e sta lavorando a stretto contatto con gli esperti GDPR per fornire assistenza nelle contromisure .

Per saperne di più sull’incidente e su come è successo, è possibile accedere al rapporto tecnico pubblicato da Timehop, che fornisce una descrizione più dettagliata dell’incidente di sicurezza.

Michele Minister

Ciao e benvenuto nel mio sito e voglio dirti Chi Sono, innanzitutto parto col dire che mi chiamo Marco Martini ma sono anche chiamato Michele Minister dato che Michele è il mio secondo nome e Minister è il nickname che ho da sempre utilizzato su tutti i giochi e quindi li ho messi insieme dato che non volevo utilizzare il classico Nome e Cognome per creare un sito. Ho soli 17 anni e svolgo parallelamente alla scuola la professione di Webmaster e Divulgatore Informatico, sono sempre stato timido ed insicuro ma con il diffondersi maggiormente delle nuove tecnologie e di Internet, mi sono avvicinato a questo nuovo mondo che ho sempre reputato il migliore.

Lascia un commento

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

×
WhatsApp chat