Timehop revela que 21 milhões de usuários do app tiveram dados pessoais roubados
O Timehop, um app que lembra usuários de redes sociais sobre posts de seu passado, revelou que sofreu uma grande violação de segurança em 4 de julho. De acordo com a empresa, 21 milhões de usuários tiveram alguma forma de dados pessoais roubada. Os invasores conseguiram também obter tokens de acesso que os teriam permitido visualizar os posts dos usuários no Facebook, Instagram, Twitter e Foursquare.
• Cientistas descobrem jeito de roubar senhas usando imagens térmicas do teclado
• WhatsApp testa aviso de link suspeito para tentar reduzir notícias falsas
No domingo (8), o Timehop fez um post de blog em que descrevia uma violação que aconteceu em 4 de julho. Notavelmente, seus servidores na nuvem não estavam protegidos por autenticação em múltiplos fatores, um protocolo de segurança que deveria ser padrão para qualquer empresa. Os hackers teriam tido acesso ao sistema do Timehop por pouco mais de duas horas.
A empresa publicou uma linha do tempo detalhada de sua resposta ao ataque, mas o que a maioria dos usuários quer mesmo saber é o que foi roubado e o que eles precisam fazer a seguir. Os nomes e os endereços de e-mail associados com 21 milhões de contas foram roubados, e 4,7 milhões dessas contas tinham um número de telefone associado a elas também. Isso já seria ruim por si só, mas o que pode ser ainda mais preocupante é que os invasores conseguiram assumir o controle dos tokens de acesso que o Timehop usa para pegar informações de contas de redes sociais. Em teoria, esses tokens poderiam ser usados para ver (e raspar) posts de rede social privados, que não foram tornados públicos. Porém, a companhia alega que desativou os tokens rapidamente e que não existe prova de que a conta de qualquer usuário tenha sido acessada.
No momento, o que podemos fazer é confiar na palavra do Timehop sobre o quão significativa essa violação foi e quanta informação foi acessada. Em seu relatório técnico, a empresa diz que um usuário não-autorizado acessou primeiro seu fornecedor de computação em nuvem em 19 de dezembro de 2017, fazendo um reconhecimento do sistema. Isso foi feito em outras quatro ocasiões, sem que os invasores fossem detectados.
A companhia diz que recorreu aos serviços de uma empresa externa de resposta a incidentes de segurança cibernética para conduzir uma auditoria de seu sistema, afirmando também que contatou as autoridades e que está trabalhando com seus parceiros de redes sociais para continuar monitorando outras violações. “Nenhum dado financeiro, mensagens privadas, mensagens diretas, fotos de usuários, conteúdo de rede social do usuário, números de previdência social ou outras informações privadas foram violados”, afirmou o TimeHop.
Para garantir, os usuários que fizeram login no Timehop com um número de celular deveriam contatar sua operadora, criar uma nova senha e perguntar se existe alguma outra medida de segurança a ser tomada. Quaisquer usuários que queiram entrar novamente no Timehop terão que reautorizar o acesso de redes sociais do serviço, porque os tokens foram desativados.
Esta notícia é mais um lembrete de que dar a um app de terceiros acesso a seus dados de redes sociais significa confiar muito no aplicativo — e, geralmente, não é uma boa ideia.
[Timehop, Relatório técnico via MacRumors]
Imagem do topo: Timehop