Timehop用户数据泄露，2100万用户遭受攻击

2018年7月7日，Timehop公布了一个涉及2100万用户的数据泄露新闻，根据介绍泄漏的数据包括用户名和相关联邮件地址。

Timehop可以将你的社交媒体帐户与你存放回忆的其他地方比如你的Dropbox照片、iPhone等等连接在一起。然后，Timehop每天就会向你显示一张“去年今日”、“前年今日”以及“多年前的今日”的快照。Timehop的首席执行官兼联合创始人乔纳森•韦格纳（Jonathan Wegener）将这些内容称作“你的数字档案”。

根据调查，攻击者早在去年12月份利用窃取的管理员凭证访问了Timehop的云存储端，并在之后进行了连续的模拟攻击，最后选择在今年的7月4日发动了攻击。更要紧的是，大约有五分之一的用户（即470万用户）泄露的信息中还附带了他们的手机号。

不过根据公司的通告，他们在2小时19分钟后就将受到攻击的服务器关闭了，以避免造成更大的攻击范围。目前可以确定，所有相关联的社交媒体、金融数据、照片以及Timehop平常从第三方社交网络中提取的数据都没有受到影响。

Timeho于7月7日（也就是遭受攻击后的第三天）公开了这次攻击的详情，这与欧盟新实施的GDPR不无关系。Timehop表示，目前它们还在对此事进行调查，最新的调查结果他们会尽快向用户和合作伙伴发布通告。

Timehop承认，黑客已经获到了其云计算环境的访问凭证。这意味着，Timehop必须让所有的现有访问凭证变为无效，在用户下次访问时，需要对其应用进行重新授权和验证才能继续使用。

不过，安全漏洞还是暴露了Timehop使用的访问令牌，攻击者可以使用他们访问相关联的其他社交网络，如Twitter，Facebook和Instagram。 Timehop目前只能试图淡化问题，解释说这些访问令牌已无效。

另外，Timehop警告其用户在重新登录时提供了一个原来注册的电话号码，以用于对其采取额外的安全预防措施，确保没有进行关联攻击。目前该公司现已采取措施提高其架构的安全性，包括采用多因素身份验证来保护所有帐户的授权和访问控制。