La brecha de seguridad de Timehop golpea a 21 millones de usuarios debido a la falta de 2FA en sus servicios en la nube
Timehop, un servicio que muestra el contenido antiguo de las redes sociales de un usuario, ha revelado una brecha de seguridad que golpeó a la empresa el 4 de julio y dio como resultado una base de datos de 21 millones de usuarios afectados.
Como resultado, la compañía anuló todos los tokens de autorización de redes sociales que tenía y alertó a sus usuarios.
Alrededor de 4.7 millones de números de teléfono fueron robados, junto con sus nombres de usuario y direcciones de correo electrónico. Timehop dijo que no se vieron afectados los datos financieros, ni el contenido de las redes sociales, y no ha habido evidencia de un acceso inapropiado a las cuentas.
"No se violaron datos financieros, mensajes privados, mensajes directos, fotos de usuarios, contenido de redes sociales de usuarios, números de seguridad social u otra información privada".
La intrusión comenzó justo después de las 2 p.m. EST del 4 de julio y terminó dos horas y 19 minutos más tarde cuando los atacantes fueron bloqueados, dijo Timehop.
"La violación se produjo porque se comprometió una credencial de acceso a nuestro entorno de computación en la nube. Esa cuenta de computación en la nube no había sido protegida por la autenticación multifactor", dijo.
En otra publicación de su blog, la compañía dijo que el 19 de diciembre un usuario no autorizado utilizó las credenciales de administrador para iniciar sesión en su entorno de nube, y comenzó las actividades de reconocimiento durante los dos días siguientes, y se conectó dos veces más antes del 4 de julio.
"Una vez que reconocimos que había habido un incidente de seguridad de datos, el CEO y el COO de Timehop contacto con la junta directiva y los asesores técnicos de la compañía, informaron a los oficiales federales y mantuvieron los servicios de una compañía de respuesta a incidentes de seguridad cibernética. y una empresa de comunicaciones de crisis", dijo Timehop.
Con la compañía anulando sus tokens de redes sociales, los usuarios necesitarán volver a autentificar cada servicio para continuar usando Timehop.