影響2100萬用戶的數據洩露擊中了Timehop App

Timehop Data Breach

Timehop是一個應用程序,它會提醒您舊的推文和Facebook狀態是多麼令人尷尬。現在是Timehop的創作者感到尷尬的時候了,因為他們的安全做法不嚴,他們遭受了完全可以避免的網絡攻擊。

這一切始於2017年12月,當時,使用屬於Timehop管理員的盜取憑據,網絡犯罪分子訪問了應用程序創建者的一個服務器。那時候,有問題的服務器對騙子沒什麼興趣,但是他們創建了自己的管理員帳戶,以便他們能夠密切關注它。在接下來的幾個月裡,他們會定期登錄,檢查是否有任何他們可能想偷的東西。

在所有這些中,Timehop的管理員都不是明智的,並且在4月份,他們決定將包含大量用戶個人數據的數據庫遷移到受感染的服務器。當他們在六月再次登錄時,騙子注意到敏感信息,但他們決定不立即竊取它。此次熱播將於7月4日舉行,屆時Timehop的大部分員工都將慶祝美國獨立日。

聰明的時機肯定會成功。當他們被召入時,Timehop的工程師認為他們正在處理一個簡單的中斷。為了解決這個問題,他們重置了數據庫密碼,並且在不知情的情況下將犯罪分子踢出去,但已經太晚了。直到第二天,Timehop的技術人員才意識到他們正在處理數據洩露問題。

大約2100萬用戶受到影響。起初,Timehop認為唯一被盜的個人信息是姓名,電子郵件地址和電話號碼,但經過進一步調查後,他們意識到一些用戶的出生日期,性別和國家代碼也已洩露。令人擔憂的是,社交媒體訪問令也被取消了。

這些訪問令牌是Timehop運營的核心。為了提醒您兩年前的Facebook帖子,應用程序需要查看它,並且訪問令牌可以作為查看您共享內容的許可。騙子與他們一起製造的事實意味著他們也有能力閱讀用戶的社交媒體資料。值得慶幸的是,Timehop和他們的社交網絡合作夥伴的快速反應意味著在欺騙者可以造成任何傷害之前,訪問令牌無效。

我們必須說,在涉及事件的披露和事後處理時,我們已經看到了更糟糕的情況。 Timehop發布了一份報告時間表 ,詳細解釋了究竟發生了什麼。用戶可以真正了解它是如何全面淘汰的,以及Timehop如何應對違規行為。他們還可以獲得一些關於如何保護自己的提示,因為他們的數據在黑客論壇中流傳。總而言之,Timehop的管理層似乎對整個事情非常透明和誠實。

不幸的是,在違規之前,這不是他們可怕的安全政策的藉口。這些騙子花費了數月的時間來收集未被發現的情報,雖然你可以把它歸結為他們的複雜程度,但一些Timehop的錯誤根本無法解釋。這是21世紀,如果你在沒有使用多因素身份驗證等基本安全機制的情況下處理數百萬人的數據,你就完全無法理解你對用戶的責任。希望這對全世界的軟件開發人員來說都是一個教訓。

May 20, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
2 + 10是什麼?