Сервис Timehop, который предназначен для просмотра старого контента в социальных сетях, сообщил об утечке пользовательских данных. Произошла она 4 июля, а затронут оказался 21 млн человек. Компания обнулила все авторизационные токены и предупредила пользователей.
Утечке подверглось около 4,7 млн телефонных номеров, а также имена пользователей и электронные адреса. По словам Timehop, финансовые данные и контент из социальных сетей затронут не был. Также не было зарегистрировано попыток неправомерного входа в какой-либо из аккаунтов.
«Небольшое число записей включало имя, телефонный номер и электронный адрес; несколько большее число включало имя и телефонный номер; гораздо большее число включало имя и электронный адрес, — заявила компания. — Финансовые данные, личные сообщения, прямые сообщения, фотографии пользователей, контент из социальных сетей, номера социального страхования и другая личная информация утечке не подверглись».
По словам Timehop, злоумышленники смогли получить доступ к данным для входа в облачную среду. Оказалось, аккаунт администратора не был защищён многофакторной аутентификацией.
Компания добавила, что 19 декабря аккаунт был использован неизвестным пользователем. Следующие два дня злоумышленник прощупывал почву для атаки, а до 4 июля ещё дважды входил с помощью учётной записи.
«Как только мы узнали, что произошёл инцидент с безопасностью данных, генеральный и операционный директора Timehop связались с советом директоров и техническими советниками компании; уведомили федеральные правоохранительные органы; и воспользовались услугами компании по реагированию на инциденты в сфере кибербезопасности, компании по анализу угроз кибербезопасности и компании по кризисным коммуникациям», — заявила Timehop.