Timehop ha revelado una brecha de seguridad que ha comprometido los datos personales (nombres y correos electrónicos) de 21 millones de usuarios (esencialmente toda su base de usuarios). Alrededor de una quinta parte de los usuarios afectados, o 4,7 millones, también han violado un número de teléfono adjunto a su cuenta en el ataque.
La startup, cuyo servicio se conecta a las cuentas de redes sociales de los usuarios para resurgir publicaciones y fotos que pueden haber olvidado, dice que descubrió el ataque mientras estaba en curso, a las 2:04 hora del este de EE. UU. El 4 de julio, y pudo cerrarlo. se redujo dos horas, 19 minutos después, aunque no antes de que se filtraran los datos de millones de personas.
Según su preliminar investigación del incidente, el atacante accedió por primera vez al entorno de la nube de Timehop en diciembre, utilizando credenciales de administrador comprometidas y aparentemente realizando un reconocimiento durante unos días ese mes, y nuevamente durante otro día en marzo y uno en junio, antes de lanzar el ataque en 4 de julio, durante un feriado en Estados Unidos.
Timehop reveló públicamente la infracción en un entrada en el blog el sábado, varios días después de descubrir el ataque.
Dice que ningún contenido de redes sociales, datos financieros o datos de Timehop se vieron afectados por la infracción, y su publicación de blog enfatiza que ninguno de los contenidos que su servicio extrae habitualmente de las redes sociales de terceros para presentarlos a los usuarios como “recuerdos” digitales fue afectado.
Sin embargo, las claves que le permiten leer y mostrar a los usuarios su contenido de redes sociales se vieron comprometidas, por lo que tiene todas las claves desactivadas, lo que significa que los usuarios de Timehop tendrán que volver a autenticarse en su aplicación para continuar usando el servicio.
“Si ha notado que algún contenido no se carga, es porque Timehop los desactivó de manera proactiva”, escribe, y agrega: “No tenemos evidencia de que se haya accedido a ninguna cuenta sin autorización”.
También admite que los tokens podrían haber sido utilizados “teóricamente” para que usuarios no autorizados accedan a las publicaciones de los usuarios de Timehop en las redes sociales durante “un período de tiempo corto”, aunque nuevamente enfatiza que “no tenemos evidencia de que esto realmente sucedió”.
“Queremos dejar en claro que estos tokens no le dan a nadie (incluido Timehop) acceso a Facebook Messenger, o Mensajes Directos en Twitter o Instagram, o cosas que sus amigos publican en su muro de Facebook. En general, Timehop solo tiene acceso a las publicaciones de redes sociales que usted mismo publica en su perfil ”, agrega.
“El daño fue limitado debido a nuestro compromiso a largo plazo de usar solo los datos que absolutamente necesitamos para brindar nuestro servicio. Timehop nunca ha almacenado su tarjeta de crédito ni ningún dato financiero, datos de ubicación o direcciones IP; no almacenamos copias de sus perfiles de redes sociales, separamos la información del usuario del contenido de las redes sociales y eliminamos nuestras copias de sus “Recuerdos” después de que los haya visto “.
En términos de cómo se accedió a su red, parece que el atacante pudo comprometer el entorno de computación en la nube de Timehop al apuntar a una cuenta que no había sido protegida por autenticación multifactor.
Eso es claramente una falla de seguridad importante, pero Timehop no explica explícitamente, escribiendo solo eso: “Ahora hemos tomado medidas que incluyen la autenticación multifactor para asegurar nuestra autorización y controles de acceso en todas las cuentas”.
Parte de su respuesta formal a incidentes, que según dice comenzó el 5 de julio, fue también agregar autenticación multifactor a “todas las cuentas que aún no las tenían para todos los servicios basados en la nube (no solo en nuestro proveedor de computación en la nube)”. Entonces, evidentemente, había más de una cuenta vulnerable a la que los atacantes podían apuntar.
Sin duda, su equipo ejecutivo tendrá preguntas que responder sobre por qué la autenticación multifactor no se aplicó universalmente para todas sus cuentas en la nube.
Por ahora, a modo de explicación, escribe: “No existe la perfección en lo que respecta a la seguridad cibernética, pero estamos comprometidos con la protección de los datos de los usuarios. Tan pronto como se reconoció el incidente, comenzamos un programa de actualizaciones de seguridad “. Que tiene una sensación distintiva de ‘puerta del establo que se cierra después de que el caballo se ha disparado’.
También escribe que llevó a cabo “la introducción de un cifrado más generalizado en todo nuestro entorno”, por lo que, nuevamente, se deben preguntar por qué se necesitó una respuesta a un incidente para desencadenar una revisión de seguridad “más generalizada”.
Tampoco está del todo claro en la publicación del blog de Timehop: cuándo / si se notificó a los usuarios afectados que su información ha sido violada.
La compañía publicó la publicación del blog que revela la violación de seguridad en su cuenta de Twitter. el 8 de julio. Pero antes de eso, su cuenta de Twitter solo señalaba que algún “mantenimiento no programado” podría estar causando problemas a los usuarios que acceden a la aplicación …
Actualmente estamos realizando un mantenimiento no programado en Timehop. Es posible que tenga algunos problemas para acceder a la aplicación hasta nuevo aviso. Siga esta cuenta para obtener actualizaciones. ¡Gracias por su paciencia!
– Timehop (@timehop) 8 de julio de 2018
ACTUALIZACIÓN: el mantenimiento aún está en curso. Puede esperar interrupciones continuas a medida que completamos este trabajo. Disculpas por cualquier inconveniente
– Timehop (@timehop) 8 de julio de 2018
Nos comunicamos con la compañía con preguntas y actualizaremos esta publicación con cualquier respuesta. Actualizar: Un portavoz de Timehop dice que se notifica a los usuarios individuales cuando vuelven a iniciar sesión en la aplicación.
“Por hoy se está trabajando en un correo electrónico para toda la base de usuarios”, le dice a TechCrunch. “[It] Tomó algo de tiempo para preparar nuestra cuenta de cuadrícula de envío para tantos correos electrónicos, ya que no somos un gran remitente de correo electrónico en general “.
En cuanto a las razones detrás de la falla multifactorial, el portavoz dijo que aún se está investigando por qué hubo un lapsus de seguridad “como lo hacemos en general”. “Pero este empleado estuvo aquí durante tanto tiempo, desde que éramos una empresa de bebés, así que parece que algo se pasó por alto”, agrega.
En su blog sobre el incidente, Timehop dice que, al mismo tiempo que trabajaba para detener el ataque y reforzar la seguridad, los ejecutivos de la empresa se comunicaron con los funcionarios encargados de hacer cumplir la ley locales y federales, presumiblemente para informar de la infracción.
Los requisitos de notificación de infracciones están incorporados en el marco de protección de datos recientemente actualizado de Europa, el RGPD, que impone firmemente a los controladores de datos la responsabilidad de informar las infracciones a las autoridades de supervisión, y hacerlo rápidamente, y la regulación establece un estándar universal dentro de las 72 horas posteriores a la fecha de entrada en vigor. consciente de ello (a menos que sea poco probable que la violación de datos personales dé lugar a “un riesgo para los derechos y libertades de las personas físicas”).
Haciendo referencia a GDPR, Timehop escribe: “Aunque las regulaciones de GDPR son vagas sobre una infracción de este tipo (una infracción debe ser” probable que resulte en un riesgo para los derechos y libertades de las personas “), estamos siendo proactivos y notificando todos los usuarios de la UE y lo han hecho lo antes posible. Hemos contratado y hemos estado trabajando en estrecha colaboración con nuestros especialistas en GDPR con sede en Europa para ayudarnos en este esfuerzo “.
La compañía también escribe que ha contratado los servicios de una compañía de inteligencia de amenazas cibernéticas (sin nombre) para buscar evidencia del uso de las direcciones de correo electrónico, números de teléfono y nombres de usuarios que se publican o usan en línea y en la Dark Web, diciendo que “Si bien ninguno ha aparecido hasta la fecha, es muy probable que aparezcan pronto”.
Los usuarios de Timehop que están preocupados por la intrusión en la red y la filtración de datos podrían tener un impacto en su “racha”, también conocida como el número que muestra Timehop para indicar cuántos días consecutivos han abierto la aplicación, la empresa les asegura que “nos aseguraremos de que todas las rachas permanezcan no se ve afectado por este evento ”.