Timehop permet à ses utilisateurs de remonter dans le temps en allant puiser dans différents réseaux sociaux posts et autres photos… Victime d’un piratage concernant 21 millions d’utilisateurs, Timehop pourrait faire regretter à ses fans le temps où il n’était pas question de cyberattaque….
“Une base de données contenant des noms d’utilisateur, des numéros de téléphone, des adresses e-mail et des jetons d’accès (tokens) aux médias sociaux [NDLR : qui pourraient permettre à un acteur malveillant d’afficher sans autorisation certains des posts utilisateurs sur les réseaux sociaux] a été piratée le 4 juillet 2018“, a annoncé sur son site l’application, qui précise cependant “Nous notons que dans de nombreux cas, il ne s’agit pas du nom légal complet du client, mais plutôt du nom du média social figurant sur son compte.” Et d’ajouter : “Aucune donnée financière, message privé, message direct, photo de l’utilisateur, contenu des médias sociaux de l’utilisateur, numéro de sécurité sociale ou autre information privée n’a été piraté.” Sur les 21 millions de comptes qui ont été touchés, un peu moins de 22 %, ou 4,7 millions de ces comptes, ont un numéro de téléphone attaché. “Nous n’avons aucune preuve que les comptes ont été consultés sans autorisation“.
Quel type d’incident ? Quelles mesures prises ?
La violation est survenue parce “qu’un identificateur d’accès à notre environnement de cloud computing a été compromis. Ce compte de cloud computing n’avait pas été protégé par l’authentification multifactorielle”, indique-t-elle. Les attaquants ont accédé au compte Cloud de Timehop via les informations d’identification d’un utilisateur admin le 19 décembre 2017 et créé un nouveau compte administrateur. Ils se sont connectés deux fois en décembre, puis en 2018 1 fois en mars et 1 fois en juin, avant de mener une attaque le 4 juillet, selon la description technique de l’attaque faite par Timehop, mise à jour le 8 juillet.
Dès que l’attaque a été connue (l’incident était en cours), les ingénieurs de la société ont bloqué les attaquants deux heures et dix-neuf minutes plus tard – à 16h23 le même jour, affirme-t-elle.
Timehop a commencé un programme “de mises à niveau de sécurité, effectué un audit des utilisateurs et un inventaire des autorisations, changé tous les mots de passe et les clés, ajouté l’authentification multifactorielle à tous les comptes de tous les services basés sur le Cloud (pas seulement dans notre fournisseur de Cloud Computing)“, a annoncé l’application. Les autorisations inappropriées ont été révoquées, les alarmes et la surveillance intensifiées, le cryptage renforcé. “L’autorisation des jetons d’accès compromis a été annulé“.
Que peuvent craindre les utilisateurs ?
Du phishing bien entendu et autres escroqueries à partir des e-mails et numéros de téléphone, voire des noms des utilisateurs. Ou encore, pendant un temps donné, il a été possible que des hackers aient accédé à des messages publiés sur les profils. TimeHop ne stocke ni carte de crédit ni donnée financière, donnée de localisation ou adresse IP, ni copies des profils de médias sociaux. Il est également possible qu’un autre incident antérieur ait eu lieu, sans que l’on puisse en définir par essence les conséquences.