Timehop ​​hackeado: Ciberdelincuentes robaron datos personales de los 21 millones de usuarios

TimeHop

La App de medios sociales Timehop ​​se ha visto afectada por una importante violación de datos el pasado 4 de julio, la cual comprometió datos personales de sus más de 21 millones de usuarios.

Timehop ​​es una sencilla App de redes sociales, esta recopila fotos y publicaciones anteriores de tu iPhone, Facebook, Instagram, Twitter y Foursquare y actúa como una máquina digital que te ayuda a encontrar, lo que estabas haciendo exactamente en este moemnto hace un año.

La compañía ha revelado el domingo que atacantes desconocidos han logrado entrar en su entorno de Cloud Computing y tener acceso a los datos de 21 millones de usuarios, incluidos sus nombres, direcciones de correo electrónico y aproximadamente 4,7 millones de números de teléfono conectados a sus cuentas.

"Nos enteramos de la infracción mientras aún estaba en curso, y pudimos interrumpirla, pero se tomaron datos. Algunos datos fueron violados", escribió la compañía en un aviso de seguridad publicado en su sitio web.

Los medios sociales Tokens OAuth2 también están comprometidos

Adicionalmente, los atacantes también obtuvieron tokens de autorización (claves) proporcionados por otros sitios de redes sociales a Timehop ​​para obtener acceso a sus mensajes e imágenes en las redes sociales.

Con el acceso a estos tokens, los cibercriminales pueden ver algunas de tus publicaciones en Facebook y otras redes sociales sin tu permiso. No obstante, Timehop ​​afirma que todos los tokens comprometidos fueron desautorizados y no válidos dentro de una "ventana de tiempo corto" después de que la compañía detectara la violación en su red el 4 de julio a las 4:23 PM, hora del Este.

Los tokens de acceso robados no se pueden usar ahora para obtener acceso a ninguno de sus perfiles de redes sociales, y la compañía también afirma que "no hay evidencia de que esto haya sucedido realmente".

"Además de nuestras comunicaciones con las autoridades locales y federales, también estamos en contacto con todos nuestros proveedores de redes sociales, y actualizaremos a los usuarios según sea necesario, pero nuevamente: no hay informes creíbles, y no ha habido evidencia de, ningún el uso no autorizado de estos tokens de acceso ", dijo la compañía.

También se debe tener en cuenta que estos tokens de autorización no dan acceso a sus mensajes privados en Facebook Messenger, Mensajes Directos en Twitter e Instagram, ni a las cosas que sus amigos publican en su muro de Facebook.

Timehop ​​también confía en que la violación de seguridad no afectó sus mensajes privados / directos, datos financieros, contenido de redes sociales y fotos, y otros datos de Timehop; a su vez señaló que no había evidencia de que se accediera a ninguna cuenta sin autorización.

Falta de autenticación de dos factores

"La violación ocurrió porque una credencial de acceso a nuestro entorno de computación en la nube se vio comprometida", dijo Timehop. El mismo día en que Timehop identificó la brecha en su red, se informó sobre el hack Gentoo GitHub que permitió a los intrusos reemplazar el contenido de los repositorios y páginas del proyecto con código malicioso, luego de adivinar la contraseña de la cuenta.

La brecha de Gentoo fue ayudada por la falta de autenticación de dos factores (2FA) para su cuenta de Github. El 2FA obliga a los usuarios a introducir un código adicional además de la contraseña para acceder a la cuenta.

Dado que Timehop no estaba utilizando la autenticación de dos factores, los atacantes pudieron obtener acceso a su entorno de computación en la nube mediante el uso de una credencial comprometida.

Timehop ​​ahora ha tomado algunas medidas de seguridad nuevas que incluyen la autenticación multifactor en todo el sistema para asegurar su autorización y controles de acceso en todas las cuentas.

Timehop ​​desconectó inmediatamente todos sus usuarios de la aplicación después de que la compañía invalidara todas las credenciales de la API, lo que significa que tendrá que volver a autenticar cada una de sus cuentas de redes sociales a la aplicación cuando inicie sesión en su cuenta de Timehop ​​para generar un nuevo token.

La compañía también está trabajando con expertos en seguridad y profesionales de respuesta a incidentes, funcionarios locales y federales encargados de hacer cumplir la ley y sus proveedores de redes sociales para minimizar el impacto de la infracción en sus usuarios.

Dado que la nueva ley de privacidad GDPR define una violación como "susceptible de generar un riesgo para los derechos y libertades de las personas", Timehop ​​afirma haber notificado a todos sus usuarios europeos afectados y está trabajando estrechamente con expertos de GDPR para ayudar en las contramedidas
.

Para saber más sobre el incidente y cómo sucedió, puede dirigirse al informe técnico publicado por Timehop, que proporciona un desglose más detallado del incidente de seguridad.

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA,