Timehop用戶數據泄露，2100萬用戶遭受攻擊

2018年7月7日，Timehop公布了一個涉及2100萬用戶的數據泄露新聞，根據介紹泄漏的數據包括用戶名和相關聯郵件地址。

Timehop可以將你的社交媒體帳戶與你存放回憶的其他地方比如你的Dropbox照片、iPhone等等連接在一起。然後，Timehop每天就會向你顯示一張「去年今日」、「前年今日」以及「多年前的今日」的快照。Timehop的首席執行官兼聯合創始人喬納森?韋格納（Jonathan Wegener）將這些內容稱作「你的數字檔案」。

根據調查，攻擊者早在去年12月份利用竊取的管理員憑證訪問了Timehop的雲存儲端，並在之後進行了連續的模擬攻擊，最後選擇在今年的7月4日發動了攻擊。更要緊的是，大約有五分之一的用戶（即470萬用戶）泄露的信息中還附帶了他們的手機號。

不過根據公司的通告，他們在2小時19分鐘後就將受到攻擊的伺服器關閉了，以避免造成更大的攻擊範圍。目前可以確定，所有相關聯的社交媒體、金融數據、照片以及Timehop平常從第三方社交網路中提取的數據都沒有受到影響。

Timeho於7月7日（也就是遭受攻擊後的第三天）公開了這次攻擊的詳情，這與歐盟新實施的GDPR不無關係。Timehop表示，目前它們還在對此事進行調查，最新的調查結果他們會儘快向用戶和合作夥伴發布通告。

Timehop承認，黑客已經獲到了其雲計算環境的訪問憑證。這意味著，Timehop必須讓所有的現有訪問憑證變為無效，在用戶下次訪問時，需要對其應用進行重新授權和驗證才能繼續使用。

不過，安全漏洞還是暴露了Timehop使用的訪問令牌，攻擊者可以使用他們訪問相關聯的其他社交網路，如Twitter，Facebook和Instagram。 Timehop目前只能試圖淡化問題，解釋說這些訪問令牌已無效。

另外，Timehop警告其用戶在重新登錄時提供了一個原來註冊的電話號碼，以用於對其採取額外的安全預防措施，確保沒有進行關聯攻擊。目前該公司現已採取措施提高其架構的安全性，包括採用多因素身份驗證來保護所有帳戶的授權和訪問控制。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！