• 發布單位:TWCERT/CC
• 更新日期:2019-03-25
• 點閱次數:300

Timehop宣布了一項安全漏洞，影響了超過2100萬用戶的整個用戶群。該APP​​主要功能是整合許多社群媒體，分析過去貼文或圖片用以回顧使用者歷史的今天。

該公司表示，駭客獲取了對其基礎設施的存取權限並竊取了其用戶的詳細資訊，包括用戶名、電子郵件、電話號碼和存取密鑰，但並非所有用戶都在其帳戶中附加了電子郵件地址或電話號碼。2100萬用戶群中只有22％（大約470萬用戶）在其帳戶中附加了電話號碼。此外，並非所有用戶名都包含用戶的真實姓名。

儘管如此，駭客竊取了所有2100萬用戶的存取密鑰。這些存取密鑰用以將Timehop​​帳戶鏈接到各種社交媒體帳戶，Timehop並能​​從這些帳戶中提取過去的社交媒體貼文和圖像。

Timehop​​表示，已對所有帳戶進行了身份驗證，因此駭客將無法使用任何這些存取密鑰從其用戶的第三方社交媒體帳戶（如Facebook、Facebook Messenger、Twitter或Instagram）檢索資料。

Timehop​​在一份聲明中表示，沒有證據表明未經授權就存取過任何帳戶，並正與執法部門和網路安全公司合作，以追查入侵者並保護其基礎設施。

根據調查的初步證據，入侵發生在2017年12月19日，當時駭客獲得對Timehop​​雲端基礎設施的管理員帳戶的存取權限。 Timehop​​表示，因無法使用多因素身份驗證來保護該帳戶，從而使攻擊成為可能。

駭客在2017年12月和2018年3月和6月的四個不同日期登錄此帳戶，在此期間進行了偵察作業，直到7月4日，當入侵者開始公開資料庫時，入侵才被發現。 

Timehop​​表示檢測到這個駭侵活動後，在兩小時十九分鐘便切斷了駭客的存取，現在透過多因素身份驗證保護所有帳戶，以防止進一步的入侵。並且正在採取其他安全措施。

參考連結：

https://www.bleepingcomputer.com/news/security/timehop-security-breach-affects-the-company-s-entire-21-million-userbase/
https://www.zdnet.com/article/timehop-breach-hits-21-million-users-due-to-a-lack-of-2fa-on-cloud-services/