TimePope披露7月4日數據泄露影響2100萬
TimePope披露7月4日數據泄露影響2100萬
TimeHOP已經公開了一個安全漏洞,它破壞了2100萬個用戶(基本上是整個用戶基礎)的個人數據(姓名和電子郵件)。大約第五的受影響用戶(或4.7億)也有一個電話號碼附加到他們的帳戶違反了攻擊。
該公司的服務被插入到用戶的社交媒體賬戶中,以重新發布他們可能忘記的帖子和照片,稱它在7月4日東部時間凌晨2點04分發現了這起襲擊事件,並在19分鐘後關閉了兩小時,儘管不是這樣。數百萬人的數據遭到破壞。
根據對該事件的初步調查,攻擊者在十二月首次訪問了TimeHOP的雲環境——使用妥協的管理憑證,並顯然在那個月的幾天進行偵察,並在3月1日和六月之前在G之前再次進行偵察。在7月4日的美國假日期間發動進攻。
星期六,在發現襲擊事件幾天後,TimePoG公開披露了一篇博客文章中的違規行為。
它說,沒有社交媒體內容、財務數據或時間數據受到違約的影響,並且它的博客文章強調,它的服務內容通常不會從第三方社交網路中升遷,以便在數字「記憶」受到影響時向用戶呈現。
然而,允許用戶讀取和顯示用戶的社交媒體內容的密鑰被破壞了——所以它所有的密鑰都被停用了,這意味著TimeHup用戶將不得不對其應用程序進行重新認證,以繼續使用該服務。
「如果你注意到任何內容不載入,這是因為TimeHOP停用這些前瞻性,」它寫道,並補充說:「我們沒有證據表明,任何帳戶未經授權訪問。」
它還承認,在「短時間窗口」中,令牌可以「理論上」被用於未經授權的用戶訪問TimHOP用戶自己的社交媒體帖子——儘管它再次強調「我們沒有證據表明這確實發生了」。
「我們想清楚的是,這些令牌不會給任何人(包括時間跳)訪問臉譜網信使,或者直接在Twitter或Instagram上發送消息,或者是你的朋友在你的臉譜網牆上發布的東西。總而言之,TimeHOP只能訪問社交網站的帖子,你把自己貼在你的個人資料上。
「損害是有限的,因為我們長期的承諾只使用數據,我們絕對需要提供我們的服務。TimeHOP從來沒有存儲你的信用卡或任何金融數據、位置數據或IP地址;我們不存儲你的社交媒體簡介的副本,我們將用戶信息與社交媒體內容分開,我們在看到你的「記憶」之後刪除我們的副本。
就如何訪問其網路而言,攻擊者似乎能夠通過針對未受多因素認證保護的帳戶來破壞TimeHOP的雲計算環境。
這顯然是一個重大的安全故障-但一個時間段沒有明確解釋,只寫:「我們現在採取的措施,包括多因素認證,以確保我們的授權和訪問控制的所有帳戶。」
其正式事件響應的一部分,它說,從7月5日開始,也增加了多因素認證,「所有的帳戶,還沒有他們為所有基於雲的服務(不只是在我們的雲計算提供商)」。因此,顯然有超過一個脆弱的帳戶攻擊者的目標。
它的執行團隊肯定會有問題要回答為什麼多因素認證沒有被普遍強制執行它的所有雲帳戶。
現在,通過解釋,它寫道:「在網路安全方面沒有完美的東西,但我們致力於保護用戶數據。事件一被發現,我們就開始了一個安全升級計劃。「在馬匹閂上後,有一個明顯的『穩定的門被鎖上』。
它還寫道,它執行了「在我們的環境中引入更廣泛的加密」——所以,再次問,為什麼它採取事件響應觸發「更普遍」的安全檢修。
TimeHop的博客帖子也不完全清楚:當/如果受影響的用戶被通知他們的信息已經被破壞。
該公司在7月8日發布了博客文章,將其安全漏洞透露給Twitter賬戶。但在此之前,它的Twitter帳戶只注意到一些「非計劃維護」可能會導致用戶訪問應用程序的問題。
我們正在對時間跳做一些非計劃的維護。在另行通知之前,您可能會遇到一些問題。請按照此帳戶進行更新。謝謝你的耐心!
-時間(@時間跳)2018年7月8日
更新:維修仍在進行中。當我們完成這項工作時,您可以預期正在進行的中斷。對任何不便表示歉意
-時間(@時間跳)2018年7月8日
我們已經向公司提出了問題,並將以任何回應更新這篇文章。更新:一位TimePoG發言人說,個人用戶在登錄到應用程序時被通知。
他對TechCrunch說:「一封給整個用戶群的電子郵件現在已經開始工作了。」「它花了一段時間讓我們的發送網格帳戶準備好了很多電子郵件,因為我們不是一個大的電子郵件發送者一般。」
在多因素失敗背後的原因,發言人說,它仍在調查為什麼有一個安全漏洞「我們通常在使用它」。「但是這個僱員在這裡呆了很長時間,從我們剛出生的時候就開始了,所以似乎有些事情被忽視了。」他補充道。
在Twitter的博客中,TimeHOP表示,與此同時,公司正努力關閉襲擊並加強安全,公司高管與當地和聯邦執法官員接觸,據推測可能會報告違約行為。
違反報告要求被放入歐洲最近更新的數據保護框架GDPR中,GDPR將數據牢牢地貼在數據控制器上,向監管當局披露違規行為,並很快做到這一點。意識到這一點的人(除非個人數據泄露不可能導致「自然人的權利和自由的風險」)。
參考GDPR,TimeHyp寫道:「儘管GDPR規則對於這種類型的違反是模糊的(違反必須是對個人的權利和自由造成風險的」),我們正在積極主動地通知所有歐盟用戶並儘可能快地做到這一點。我們保留並與我們的歐洲GDPR專家密切合作,以協助我們的努力。」
該公司還寫道,它已經參與了一個(未命名的)網路威脅情報公司的服務,以尋找使用電子郵件地址、電話號碼和被張貼或在線使用的用戶的姓名和在黑暗網路上使用的證據。很有可能他們很快就會出現。
擔心網路入侵和數據泄露的TimeHp用戶可能會影響他們的「連線」,也就是Aka的數字時間顯示來表示他們連續打開了多少天的應用程序。是事件「。
關注這就是焦點,謝謝,不得轉載
TAG:web小小魚 |