Uma Violação de Dados Afeta 21 Milhões de Usuários do Timehop

O Timehop é um aplicativo que lembra como seus velhos tweets e status do Facebook são embaraçosos. Agora é hora de os criadores do Timehop se sentirem envergonhados porque, graças às suas práticas de segurança desleixadas, sofreram um ataque cibernético que foi completamente evitável.

Tudo começou em dezembro de 2017, quando, usando credenciais roubadas que pertenciam a um administrador do Timehop, os cibercriminosos acessaram um dos servidores do criador do aplicativo. Naquela época, o servidor em questão não tinha nada de interesse para os vigaristas, mas mesmo assim criaram uma conta de administrador para que pudessem ficar de olho nele. Nos meses seguintes, eles faziam login periodicamente para verificar se havia algo que eles pudessem roubar.

Ao longo de tudo isso, os administradores da Timehop não sabiam, e em abril decidiram migrar um banco de dados contendo muitos dados pessoais de seus usuários para o servidor comprometido. Quando eles fizeram o login novamente em junho, os bandidos notaram as informações confidenciais, mas decidiram não roubá-las imediatamente. O ataque aconteceria no dia 4 de julho, quando a maioria dos funcionários da Timehop celebraria o Dia da Independência dos EUA.

O timing inteligente certamente fez o truque. Quando foram chamados, os engenheiros da Timehop pensaram que estavam lidando com uma interrupção simples. Para remediar, eles redefiniram a senha do banco de dados e, sem saber, expulsaram os criminosos, mas já era tarde demais. Não foi até o dia seguinte que os técnicos da Timehop perceberam que estavam lidando com uma violação de dados.

Aproximadamente 21 milhões de usuários são afetados. A princípio, a Timehop achava que os únicos detalhes pessoais roubados eram nomes, endereços de e-mail e números de telefone, mas depois de mais investigações, eles perceberam que alguns usuários também tinham suas datas de nascimento, sexo e códigos de país vazados. Preocupante, tokens de acesso de mídia social foram levantados também.

Esses tokens de acesso estão no centro da operação da Timehop. Para lembrá-lo dessa postagem no Facebook de dois anos atrás, o aplicativo precisa vê-la e os tokens de acesso agem como permissões para visualizar o que você compartilhou. O fato de os trapaceiros terem fugido com eles significa que eles também tinham a capacidade de ler os perfis de mídia social dos usuários. Felizmente, a Timehop e as reações rápidas de seus parceiros de redes sociais fizeram com que os tokens de acesso fossem invalidados antes que os bandidos causassem qualquer dano.

Devemos dizer que, quando se trata da divulgação e tratamento pós-factual do incidente, vimos muito pior. A Timehop publicou um relatório e uma linha do tempo que detalham exatamente o que aconteceu. Os usuários podem realmente entender como tudo ocorreu e como o Timehop reagiu à violação. Eles também podem obter algumas dicas sobre como se proteger agora que seus dados estão circulando nos fóruns de hackers. Tudo somado, a administração da Timehop parece ser extremamente transparente e honesta sobre a coisa toda.

Infelizmente, isso não é desculpa para suas políticas de segurança horríveis antes da violação. Os bandidos passaram meses reunindo informações não detectadas, e, embora você possa resumir isso à sofisticação, alguns dos erros do Timehop são simplesmente inexplicáveis. É o século 21, e se você estiver manipulando os dados de milhões de pessoas sem usar mecanismos básicos de segurança, como a autenticação multifator, você não conseguirá entender quais são suas responsabilidades com seus usuários. Aqui está esperando que isso seja uma lição para desenvolvedores de software em todo o mundo.