Timehop est une application pour iOS et Android qui récupère vos anciennes photos et vos anciens messages sur Facebook, Instagram et Twitter. Il vous rappelle ce que vous avez publié il y a un, deux ou trois ans. Le service a subi une invasion qui a touché pratiquement tous ses utilisateurs ? un total de 21 millions.
Les données divulguées sont principalement des noms d’utilisateurs et des adresses électroniques. En outre, les numéros de téléphone portable associés à 4,7 millions de comptes ont été volés.
L’envahisseur a également pu emporter les jetons d’accès à Timehop pour visionner ses anciennes photos et ses tweets. La société affirme que ces jetons n’étaient ni autorisés ni valides et qu’ils ne peuvent pas être utilisés pour accéder à des profils d’utilisateurs.
Comment cela s’est-il produit ? Selon une enquête préliminaire, le hacker est entré pour la première fois dans l’environnement cloud de Timehop en décembre 2017, en utilisant un login d’administrateur volé. Il s’est reconnecté en mars et en juin, avant de lancer l’attaque le 4 juillet, jour de l’indépendance des États-Unis. (La société est basée à New York).
Au départ, le compte Twitter officiel ne mentionnait qu’une “maintenance non programmée”, jusqu’à ce qu’il révèle ce qui s’est réellement passé quelques heures plus tard.
Oui, l’attaquant a pu accéder au système en utilisant un seul mot de passe ? ce compte d’administrateur n’avait pas d’authentification à deux facteurs. Après l’incident, Timehop a réinitialisé tous les mots de passe internes et a activé la vérification en deux étapes pour tous les comptes liés aux services en ligne.
Si vous utilisez Timehop, vous n’avez pas à changer le mot de passe, mais vous devez autoriser à nouveau l’accès à Twitter, Facebook et Instagram. L’entreprise travaille avec les forces de l’ordre pour enquêter sur l’affaire.