Компания, стоящая за приложением для социальных сетей Timehop, сообщила, что ее серверы пострадали от утечки данных, в результате которой были украдены личные данные примерно 21 миллиона пользователей.

Компания, чей сервис интегрируется с учетными записями пользователей в социальных сетях для отображения фотографий и воспоминаний, о которых они могли забыть, заявила, что узнала об атаке во время ее осуществления ранним утром 4 июля.

В заявлении, опубликованном в субботу, компания сообщила, что ей удалось отключить свои облачные серверы через два часа двадцать минут после начала атаки, но не раньше, чем были украдены данные значительного числа пользователей.

По данным компании, хакеры похитили имена и адреса электронной почты 21 миллиона пользователей, а также номера телефонов 4,7 миллиона пользователей, однако личные/прямые сообщения, финансовые данные, контент из социальных сетей, фотографии или данные Timehop, включая «стрики» (серии последовательных действий), не пострадали.

Однако в результате утечки были скомпрометированы ключи, которые позволяют сервису читать и отправлять контент из социальных сетей пользователям. В качестве меры безопасности Timehop деактивировал ключи, но это означает, что пользователям придется заново разрешить приложению доступ к своим учетным записям, если они хотят продолжать пользоваться сервисом.

Пока мы проводим расследование, мы хотим подчеркнуть две вещи: во-первых, на сегодняшний день нет никаких доказательств и подтвержденных сообщений о несанкционированном доступе к данным пользователей посредством использования этих токенов доступа.

Во-вторых, мы хотим ясно дать понять, что эти токены не дают никому (включая Timehop) доступа к Facebook Messenger, личным сообщениям в Twitter или Instagram, или к тому, что ваши друзья публикуют на вашей стене в Facebook. В целом, Timehop имеет доступ только к тем публикациям в социальных сетях, которые вы сами размещаете в своем профиле. Однако важно сообщить вам, что существовал короткий промежуток времени, в течение которого теоретически было возможно, чтобы неуполномоченные пользователи получили доступ к этим публикациям — опять же, у нас нет доказательств того, что это произошло на самом деле.

Примечательно, что Timehop признал, что до утечки процесс входа в учетную запись на скомпрометированном облачном сервере не был защищен многофакторной аутентификацией.

Протоколы многофакторной аутентификации часто используются компаниями, обрабатывающими большие базы данных клиентов, поскольку они обеспечивают повышенную безопасность при попытках входа, запрашивая у пользователя дополнительную информацию, известную только ему.

Компания заявила, что теперь сменила все свои пароли и добавила многофакторную аутентификацию ко всем своим учетным записям облачных серверов, и продолжит сотрудничать с местными и федеральными правоохранительными органами для дальнейшего расследования инцидента.

Обновление 7/11: Timehop сообщил, что в результате той же утечки данных были скомпрометированы дополнительные пользовательские данные, включая дату рождения и пол.