移动应用 Timehop 数据遭泄露 所有2100万用户受影响

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

旨在展示每年同一日期的社交媒体帖子的移动应用Timehop宣布遭攻击，整个由2100多万用户组成的用户数据库受影响。

用户受影响的程度各异。Timehop 表示一名黑客获得访问基础设施的权限并窃取了用户详情，包括用户名、邮件、电话号码和访问密钥。

主要是Timehop 账户访问密钥被盗

Timehop 表示，并非所有的用户都将邮件地址或电话号码和账户相关联。仅有22%的所有用户（约470万名）将电话号码和账户相关联。另外，并非所有的用户名中都包含用户的真实姓名。

不管怎样，黑客窃取了所有2100万名用户的访问密钥。这些访问密钥将 Timehop 账户和多个社交媒体账户关联在一起，供 Timehop 提取老旧的社交媒体内容和图像。

Timehop 表示已经将所有账户去认证化，因此黑客将无法通过这些访问密钥从用户的第三方社交媒体账户如 Facebook、Facebook Messenger、Twitter 或 Instagram检索数据。

Timehop 发布声明称，“再重申一次：您的‘记忆’——Timehop 存储的社交媒体帖子和照片并未遭访问。目前尚未有证据表明账户遭越权访问。”

Timehop 公司表示，目前正在和执法部门以及网络安全公司合作追踪黑客的下落并加固基础设施的安全。

事件发生在2017年12月

从调查的初步证据来看，时间发生在2017年12月19日，当时黑客获得对 Timehop 云基础设施管理员账户的访问权限。Timehop 公司表示未以多因素认证机制加固该账户安全，导致攻击发生。

黑客分别在2017年12月份、2018年3月份和6月份的四天内登陆该账户，开展侦察活动。直到7月4日，攻击才被发现，当时黑客开始渗透到公司的数据库。Timehop 公司表示检测到黑客活动并于2小时19分钟内切断了黑客的访问权限。

Timehop 公司表示目前已通过多因素认证机制加固所有账户的安全以阻止进一步的入侵行动，并正在部署其它安全措施。

https://www.bleepingcomputer.com/news/security/timehop-security-breach-affects-the-company-s-entire-21-million-userbase/