影响2100万用户的数据泄露击中了Timehop App
Timehop是一个应用程序,它会提醒您旧的推文和Facebook状态是多么令人尴尬。现在是Timehop的创作者感到尴尬的时候了,因为他们的安全做法不严,他们遭受了完全可以避免的网络攻击。
这一切始于2017年12月,当时,使用属于Timehop管理员的盗取凭据,网络犯罪分子访问了应用程序创建者的一个服务器。那时候,有问题的服务器对骗子没什么兴趣,但是他们创建了自己的管理员帐户,以便他们能够密切关注它。在接下来的几个月里,他们会定期登录,检查是否有任何他们可能想偷的东西。
在所有这些中,Timehop的管理员都不是明智的,并且在4月份,他们决定将包含大量用户个人数据的数据库迁移到受感染的服务器。当他们在六月再次登录时,骗子注意到敏感信息,但他们决定不立即窃取它。此次热播将于7月4日举行,届时Timehop的大部分员工都将庆祝美国独立日。
聪明的时机肯定会成功。当他们被召入时,Timehop的工程师认为他们正在处理一个简单的中断。为了解决这个问题,他们重置了数据库密码,并且在不知情的情况下将犯罪分子踢出去,但已经太晚了。直到第二天,Timehop的技术人员才意识到他们正在处理数据泄露问题。
大约2100万用户受到影响。起初,Timehop认为唯一被窃取的个人信息是姓名,电子邮件地址和电话号码,但经过进一步调查后,他们意识到一些用户的出生日期,性别和国家代码也已泄露。令人担忧的是,社交媒体访问令也被取消了。
这些访问令牌是Timehop运营的核心。为了提醒您两年前的Facebook帖子,应用程序需要查看它,并且访问令牌可以作为查看您共享内容的许可。骗子与他们一起制造的事实意味着他们也有能力阅读用户的社交媒体资料。值得庆幸的是,Timehop和他们的社交网络合作伙伴的快速反应意味着在欺骗者可以造成任何伤害之前,访问令牌无效。
我们必须说,在涉及事件的披露和事后处理时,我们已经看到了更糟糕的情况。 Timehop发布了一份报告和时间表 ,详细解释了究竟发生了什么。用户可以真正了解它是如何全面淘汰的,以及Timehop如何应对违规行为。他们还可以获得一些关于如何保护自己的提示,因为他们的数据在黑客论坛中流传。总而言之,Timehop的管理层似乎对整个事情非常透明和诚实。
不幸的是,在违规之前,这不是他们可怕的安全政策的借口。这些骗子花费了数月的时间来收集未被发现的情报,虽然你可以把它归结为他们的复杂程度,但一些Timehop的错误根本无法解释。这是21世纪,如果你在没有使用多因素身份验证等基本安全机制的情况下处理数百万人的数据,你就完全无法理解你对用户的责任。希望这对全世界的软件开发人员来说都是一个教训。