示意圖,與新聞事件無關。

圖片來源: 

Timehop

社交網站風險高!提供臉書及推特過去貼文回顧的appTimehop周日公告上周7月4日遭駭傳出重大資安事件,2100萬名用戶個資外洩,而且駭客也曾取得用戶存取臉書、推特、IG等社交網站內容的憑證。

根據Timehop公佈的時程,去年12月19日一名駭客使用具有管理員權限的員工帳密登入其雲端供應商網路,建立新的管理員帳戶。接著駭客接連在去年12月、以及今年3月及6月先後登入其雲端服務進行事先環境偵察。隨後在美東時間7月4日當天開始攻擊Timehop的主要資料庫並對外傳輸資料。下午2點43分駭客觸動警報,Timehop人員立即切斷服務,著手處理鎖定環境,2個小時後才恢復服務。

根據初步調查,透過這個社交網路時光機app,駭客取得高達2100萬名用戶的姓名及電子郵件資料,其中有470萬名用戶帳號加入了電話號碼。不過Timehop 表示,Timehop存於用戶社交網站上的貼文、相片未受影響,因為該公司將用戶內容(稱為memories)及Timehop上的個資分開存放,用戶看過這些memories後,Timehop就刪掉了自己的備份。

此外,Timehop也未儲存用戶信用卡號或所有財務資料、IP位置,他們也沒有備份用戶社交網站上的個人資料檔。

此外,該駭客也取得了臉書、推特、IG、Foursqure等社交網站提供給Timhop的存取憑證。這些憑證讓用戶得以存取上述社交網站的內容。但Timehop 已經第一時間取消了這些金鑰。在使用者重新驗證之前,用戶app不會載入內容。這家app並強調,這些金鑰也和Facebook Messenger、以及推特、IG上的私訊(Direct Messages)無關,而且沒有任何用戶帳號遭駭的跡象。

事後Timehop啟動的安全措施包括展開權限清查、變更所有密碼及金鑰、針對所有帳號啟動多因素驗證、及取消不當存取權限等。

此事再度突顯社交網站的隱私風險。6月底臉書才因隱私工具臭蟲問題,使用戶私密貼文設定被改成公開,令1400萬用戶可能私密貼文曝光。上周又傳臉書的臭蟲可讓80多萬名用戶封鎖對象解鎖,看到原本看不到的貼文。


Advertisement

更多 iThome相關內容