【猎云网(微信号:)】7月9日报道 (编译:叶展盛)
Timehop公布了一次涉及2100万用户的数据泄露(包括名字和邮件)。大约有五分之一的用户——470万——泄露的账户中附带了手机号码。
这家创企的服务内置于用户的社交网络账户中,能帮助他们寻找之前已经遗忘的发布内容和照片。它表示自己发现时,这场攻击已经发生了,当时大约是7月4日美国东部时间2:04,公司在两小时19分钟后将其服务关闭,以避免剩余数百万用户的数据遭到泄露。
根据公司早期的调查,攻击者最早在12月份利用窃取的管理员凭证访问了Timehop的云环境,并在之后的数天内进行了勘查,之后它又在3月和7月的某一天重复进行过勘查,最后选择在美国国庆日的假期中(也就是7月4日)发动了攻击。
Timeho于本周六在一则博客中公开了这次攻击,也就是遭受攻击后的第三天。它强调了本次攻击中,所有社交媒体内容、金融数据以及Timehop平常从第三方社交网络中提取的数据都没有受到影响,
但是允许别人阅读和展示用户社交内容的密钥遭到了攻击,因此公司已经让所有的密钥无效化,这意味着Timehop的用户需要对其应用进行重新授权才能继续使用其服务。
“如果你发现所有内容都无法加载,这是因为Timehop预先停用了这些服务。我们没有任何证据能表明哪个账户能在没有授权的情况下进行访问。”它写道。
它也确实承认了,“从理论上讲”这些通证能让未授权者在“短时间内”访问Timehop用户的社交媒体发布内容——但它也强调“目前没有任何证据表明这种事情发生过”。
“我们要声明的是,这些通证不可能让别人(包括Timehop)访问用户的Facebook Messenger、Direct Messages或Instagram,同时也看不到你朋友在Facebook上发布的东西。总的来说,Timehop只能访问到用户自己之前发布的媒体内容。”它补充道。