Timehop​​ サービスがデータ漏洩に見舞われ、2,100 万人のユーザーに影響 [更新]

ソーシャルメディアアプリ Timehop ​​を運営する企業は、同社のサーバーが約2100万人のユーザーの個人情報が盗まれるデータ侵害に遭ったことを明らかにした。

ユーザーのソーシャルメディアアカウントと統合して、ユーザーが忘れていたかもしれない写真や思い出を表示するサービスを提供する同社は、7月4日の早朝に攻撃が起こっていたことを認識したと述べた。

同社は土曜日に発表した 声明 で、攻撃開始から2時間20分後にクラウドサーバーをシャットダウンすることができたが、かなりの数のユーザーのデータが盗まれる前にシャットダウンできなかったと述べた。

同社によると、ハッカーは2100万人のユーザーの名前と電子メール、470万人のユーザーの電話番号を盗んだが、プライベート/ダイレクトメッセージ、財務データ、ソーシャルメディア、写真コンテンツ、またはストリークを含むTimehop​​データには影響はなかったという。

ただし、このサービスがソーシャル メディア コンテンツを読み取ってユーザーに送信できるようにするキーが、この侵害によって侵害されました。 Timehop​​ はセキュリティ対策としてキーを無効にしましたが、これはユーザーがサービスの使用を継続したい場合、自分のアカウントにアクセスするためのアプリの許可を再度有効にする必要があることを意味します。

私たちが調査している間、次の 2 つのことを強調したいと思います。 1 つ目: 現在まで、これらのアクセス トークンを使用したユーザー データへの不正アクセスの証拠はなく、確認された報告もありません。

第二に、これらのトークンは、Facebook メッセンジャー、Twitter や Instagram のダイレクト メッセージ、または友達が Facebook ウォールに投稿したものへのアクセスを誰にも (Timehop​​ を含む) 許可するものではないことを明確にしたいと思います。一般に、Timehop​​ は、ユーザーが自分のプロフィールに投稿したソーシャル メディアの投稿にのみアクセスできます。ただし、理論上、権限のないユーザーがこれらの投稿にアクセスすることが可能だった短期間が存在したことをお伝えしておくことが重要です。繰り返しになりますが、これが実際に起こったという証拠はありません。

特に、Timehop​​ は、侵害前に、侵害されたクラウド サーバー上のアカウント ログイン プロセスが多要素認証によって保護されていなかったことを認めました。

多要素認証プロトコルは、ユーザーに自分だけが知っている追加情報の提供を要求することで、ログイン試行中に強化されたセキュリティを提供するため、大規模な顧客データベースを扱う企業でよく使用されます。

同社は現在、すべてのパスワードをリセットし、すべてのクラウドサーバーアカウントに多要素認証を追加しており、引き続き地元および連邦の法執行当局と協力して事件をさらに調査すると述べた。

7 月 11 日更新: Timehop​​ は、生年月日や性別など、より多くのユーザー情報が同じデータ侵害で侵害されたことを 明らかにしました 。