Uma enorme violação de dados na Timehop expôs os detalhes privados de mais de 21 milhões de usuários.
O serviço se conecta às contas de mídia social dos usuários para fazer ressurgir as lembranças de suas antigas postagens nas mídias sociais.
No entanto, a empresa revelou que seu serviço de computação em nuvem foi invadido recentemente e que os dados de 21 milhões de usuários foram roubados.
A maioria dos dados incluía nomes de usuários e endereços de e-mail.
Cerca de 4,7 milhões de pessoas – ou um em cada cinco usuários afetados – também podem ter tido seu número de telefone comprometido.
A Timehop disse que os detalhes foram roubados porque não utilizou dois fatores de autenticação (2FA) em seu login na computação em nuvem.
A empresa sediada em Nova York descobriu o ataque às 2:04 da manhã, horário da costa leste dos EUA (7h04 no horário de Brasília) em 4 de julho.
Foi interrompido apenas duas horas e 19 minutos depois.
“Aprendemos sobre a violação enquanto ela ainda estava em andamento e conseguimos interrompê-la, mas os dados foram coletados”, escreveu um porta-voz em um post no blog.
A empresa disse que nomes, endereços de e-mail e alguns números de telefone foram violados, bem como chaves de criptografia.
Essas ‘chaves’ permitem que o Timehop leia e mostre as postagens das mídias sociais das pessoas, mas não suas mensagens privadas.
“Desativamos essas chaves para que elas não possam mais ser usadas por ninguém”, disse a empresa.
Os usuários foram desconectados do aplicativo para redefinir todas as chaves.
A violação também levou a uma perda de tokens de acesso que o serviço usa para acessar as postagens dos usuários em outras redes sociais.
Houve uma “pequena janela de tempo durante a qual era teoricamente possível que usuários não autorizados acessassem essas postagens”, mas não há “nenhuma evidência de que isso tenha realmente acontecido”, de acordo com o post no blog.
A empresa diz que esses tokens foram revogados e não funcionarão mais para os usuários.
“Nenhuma mensagem privada / direta, dados financeiros, mídia social ou conteúdo fotográfico, nem dados da Timehop, incluindo sequências, foram afetados”, disse a empresa.
Timehop diz que notificou todos os seus usuários europeus da violação, trabalhando sob a GDPR.
Os usuários que usaram o número de telefone para fazer login são aconselhados pela empresa a entrar em contato com a operadora de celular para garantir que o número não possa ser transferido.
“A violação ocorreu porque uma credencial de acesso ao nosso ambiente de computação em nuvem foi comprometida”, disse a empresa.
‘Essa conta de computação em nuvem não foi protegida por autenticação multifatorial.
“Agora, adotamos medidas que incluem autenticação multifatorial para garantir nossa autorização e acesso a controles em todas as contas”, disse o blog.
Como você pode proteger as suas informações online?
- Ative o processo de autenticação em duas etapas sempre que possível. Você deve escolher essa opção em sites que a oferecem porque, quando uma ação específica de identidade é necessária, além de inserir sua senha e nome de usuário, fica muito mais difícil para os fraudadores acessarem suas informações.
- Proteja seu telefone. Evitar o Wi-Fi público e instalar um bloqueio de tela são etapas simples que podem atrapalhar os hackers. Alguns fraudadores começaram imediatamente a descartar completamente os telefones seguros. Instalar um anti-malware também pode ser benéfico.
- Assine os alertas. Várias instituições que fornecem serviços financeiros, incluindo emissores de cartões de crédito, oferecem aos clientes a chance de serem notificados quando detectarem atividades suspeitas. Ative essas notificações para se manter informado sobre as atividades do cartão de crédito vinculadas à sua conta.
- Tenha cuidado ao realizar transações online. Mais uma vez, algumas instituições oferecem notificações para ajudar com isso, o que irá alertá-lo quando seu cartão for usado online. Também pode ser útil estabelecer limites para os valores que podem ser gastos com seu cartão na internet.
