Timehop​​社交媒体应用程序泄露全部2100万所有用户的个人数据,由于该公司未使用双因素身份验证,因此攻击者可以通过使用受到破坏的凭据来访问其云计算环境。 

7月4日,Timehop​​社交媒体应用程序受到重大数据泄露事件的影响,该应用程序破坏了超过2100万用户的个人数据。 

Timehop​​是一个简单的社交媒体应用程序,它可以从您的iPhone,Facebook,Instagram,Twitter和Foursquare收集您的旧照片和帖子,并充当数字时间机器,帮助您在一年前的这一天找到您正在做的事情。 

该公司周日透露,未知的攻击者设法闯入其云计算环境并访问全部2100万用户的数据,包括他们的姓名,电子邮件地址以及附加到其帐户的大约470万个电话号码。

该公司 在其网站上发布的 一份安全公告中写道:“我们了解到该漏洞仍处于进行中,并能够中断,但数据已被删除。一些数据遭到破坏。”

双因素认证

双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算了认证的动态密码,从而确保密码的一致性,从而实现了用户的认证。因每次认证时的随机参数不同,所以每次产生的动态密码也不同。由于每次计算时参数的随机性保证了每次密码的不可预测性,从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。

https://baike.baidu.com/item/%E5%8F%8C%E5%9B%A0%E7%B4%A0%E8%AE%A4%E8%AF%81

社交媒体OAuth2令牌也受到妥协


此外,攻击者还获得了其他社交网站提供给Timehop​​的授权令牌(密钥),以获取对您社交媒体帖子和图像的访问权限。 

通过访问这些令牌,黑客可以在未经您许可的情况下在Facebook和其他社交网络上查看您的一些帖子。


然而,Timehop​​声称所有被入侵的令牌在7月4日美国东部时间下午4:23在网络上发现漏洞后,在“短时间窗口”内被发现并被取消。 

被盗的访问令牌现在无法用于访问您的任何社交媒体配置文件,该公司还声称“没有证据表明这实际发生了”。

“除了我们与当地和联邦执法部门的沟通外,我们还与所有社交媒体提供商保持联系,并将根据需要更新用户,但同样:没有可靠的报告,也没有任何证据表明未经授权使用这些访问令牌,“该公司表示。

还应该注意的是,这些授权令牌不会让任何人(包括公司本身)访问Facebook Messenger上的私人消息,Twitter和Instagram上的直接消息以及朋友发布到Facebook墙上的内容。 

Timehop​​也相信安全漏洞不会影响您的私人/直接消息,财务数据,社交媒体和照片内容,以及其他Timehop​​数据,包括条纹和记忆。 

Timehop​​还指出,没有证据表明未经授权访问过任何帐户。 

缺乏双因素认证辅助数据泄露

“这次违规发生是因为我们的云计算环境的访问凭证受到了损害,”Timehop​​说。

同一天,Timehop​​发现了其网络上的漏洞,我们报告了 Gentoo GitHub账号黑客 ,它允许入侵者在猜测帐户密码后用恶意攻击者替换项目存储库和页面的内容。 

在Gentoo的违反因缺少的辅助双因素认证(2FA)为其Github上的帐户。2FA使用户必须输入密码以外的其他密码才能访问该帐户。 
Timehop​​也是如此。 

由于该公司未使用双因素身份验证,因此攻击者可以通过使用受到破坏的凭据来访问其云计算环境。 

Timehop​​现在采取了一些新的安全措施,包括系统范围的多因素身份验证,以确保其所有帐户的授权和访问控制。 

在公司使所有API凭据无效后,Timehop​​立即注销了该应用的所有用户,这意味着当您登录到您的Timehop​​帐户以生成新令牌时,您需要重新向应用程序重新验证每个社交媒体帐户。 

该公司还与安全专家和事件响应专业人员,当地和联邦执法官员及其社交媒体提供商合作,以最大限度地减少违规对其用户的影响。 

由于新的GDPR隐私法将违规定义为“可能对个人的权利和自由造成风险”,Timehop​​声称已通知所有受影响的欧洲用户,并正在与GDPR专家密切合作,以协助对策。