社交網站時光機app Timehop驚爆遭駭，2100萬用戶個資外洩

社交網站風險高！提供臉書及推特過去貼文回顧的appTimehop周日公告上周7月4日遭駭傳出重大資安事件，2100萬名用戶個資外洩，而且駭客也曾取得用戶存取臉書、推特、IG等社交網站內容的憑證。

根據Timehop公佈的時程，去年12月19日一名駭客使用具有管理員權限的員工帳密登入其雲端供應商網路，建立新的管理員帳戶。接著駭客接連在去年12月、以及今年3月及6月先後登入其雲端服務進行事先環境偵察。隨後在美東時間7月4日當天開始攻擊Timehop的主要資料庫並對外傳輸資料。下午2點43分駭客觸動警報，Timehop人員立即切斷服務，著手處理鎖定環境，2個小時後才恢復服務。

根據初步調查，透過這個社交網路時光機app，駭客取得高達2100萬名用戶的姓名及電子郵件資料，其中有470萬名用戶帳號加入了電話號碼。不過Timehop 表示，Timehop存於用戶社交網站上的貼文、相片未受影響，因為該公司將用戶內容（稱為memories）及Timehop上的個資分開存放，用戶看過這些memories後，Timehop就刪掉了自己的備份。

此外，Timehop也未儲存用戶信用卡號或所有財務資料、IP位置，他們也沒有備份用戶社交網站上的個人資料檔。

此外，該駭客也取得了臉書、推特、IG、Foursqure等社交網站提供給Timhop的存取憑證。這些憑證讓用戶得以存取上述社交網站的內容。但Timehop 已經第一時間取消了這些金鑰。在使用者重新驗證之前，用戶app不會載入內容。這家app並強調，這些金鑰也和Facebook Messenger、以及推特、IG上的私訊（Direct Messages）無關，而且沒有任何用戶帳號遭駭的跡象。

事後Timehop啟動的安全措施包括展開權限清查、變更所有密碼及金鑰、針對所有帳號啟動多因素驗證、及取消不當存取權限等。

此事再度突顯社交網站的隱私風險。6月底臉書才因隱私工具臭蟲問題，使用戶私密貼文設定被改成公開，令1400萬用戶可能私密貼文曝光。上周又傳臉書的臭蟲可讓80多萬名用戶封鎖對象解鎖，看到原本看不到的貼文。