Discussion :

[Stan Adkens]

Timehop : un piratage expose les données d’environ 21 millions d’utilisateurs
Mais les photos et les messages des réseaux sociaux n’ont pas été affectés

Les hébergeurs de données utilisateur ne seront jamais assez à l’abri des activités des hackers. Timehop, l’application pour Smartphone, créateur de nostalgie à partir des photos anciennes et des messages recueillis sur Facebook, Twitter, Instagram et Dropbox pour permettre aux utilisateurs de se connecter les uns aux autres par des activités passées, peut en témoigner dans sa publication du 8 juillet.

En effet, le 4 juillet dernier, une faille dans un identificateur d’accès à l’environnement cloud de Timehop a permis la violation des données des utilisateurs de l’application qui a exposé la vie privée d’environ 21 millions d’utilisateurs. En effet, le cloud n’avait pas été protégé par une authentification multifactorielle. « À 2h04 de l'Est des États-Unis dans l'après-midi du 4 juillet 2018, Timehop a observé une intrusion de son réseau. La violation est survenue parce qu'un identifiant d'accès à notre environnement de cloud computing a été compromis. Ce compte de cloud computing n'avait pas été protégé par l'authentification multifactorielle. »

Timehop dit avoir détecté la brèche pendant que les attaquants étaient encore en activité et a pu l’interrompre limitant ainsi les dégâts. Et bien que les données ayant été à nouveau sécurisées, Timehop déclare avoir fait cette publication en vertu de son engagement à la transparence sur l’incident afin d’informer les utilisateurs et les partenaires de ce qui s'est passé, ce que Timehop a dû faire, comment il s’en est pris et comment il s’assure que cela ne se répète jamais encore. « Nous avons appris l'existence de la brèche alors qu'elle était encore en cours et avons pu l'interrompre, mais des données ont été recueillies. Bien que notre enquête sur cet incident (et la possibilité de tout incident antérieur) se poursuive, nous écrivons pour fournir à nos utilisateurs et partenaires toutes les informations pertinentes le plus rapidement possible. »

Les données affectées concernent environ 21 millions d’utilisateurs de l’application, selon Timehop. Ce sont : les noms, adresses e-mail et certains numéros de téléphone. Par contre, aucun message privé direct, données financières, ou contenus de médias sociaux ou de photos, ou données de Timehop n'ont été compromis.

En plus des données des utilisateurs, Timehop déclare que les « jetons d’accès » fournis par les fournisseurs de médias sociaux ont également été compromis. « Les jetons qui permettent à Timehop de lire et de vous montrer vos posts sur les réseaux sociaux (mais pas les messages privés) ont également été compromis. Nous avons désactivé ces jetons afin qu'ils ne puissent plus être utilisés par quiconque. Vous devrez donc vous ré-authentifier auprès de notre application. »

En effet, ces jetons pourraient permettre aux hackers d'afficher sans autorisation certains des posts des utilisateurs sur les réseaux sociaux. Cependant, Timehop déclare n’avoir aucune preuve que les comptes ont été consultés sans autorisation. Tous les moyens et ressources (des experts en sécurité et des professionnels de la réponse aux incidents, des responsables locaux et fédéraux de l'application de la loi et les fournisseurs de médias sociaux) nécessaires sont mis en œuvre pour minimiser l’impact de l’attaque. Timehop rassure les utilisateurs avoir retiré tous les jetons compromis et qu’ils ne sont plus valides.

Par ailleurs, les données sensibles des utilisateurs telles que les données financières n’ont jamais été stockées, selon Timehop : « Timehop n'a jamais stocké votre carte de crédit ni aucune donnée financière, donnée de localisation ou adresse IP ; nous ne stockons pas de copies de vos profils de médias sociaux, nous séparons les informations des utilisateurs du contenu des médias sociaux - et nous supprimons nos copies de vos «Mémoires» après les avoir vues. ». Toute chose pour rassurer davantage les utilisateurs et les partenaires.

Source : Timehop

Et vous ?

Que pensez-vous de la recrudescence de la violation de données utilisateur ?
Pensez-vous que l’on peut sécuriser totalement les données des utilisateurs sur un système informatique ?

Voir aussi

Les Français victimes de la cybercriminalité auraient perdu 6,1 milliards d'euros en 2017, d'après les résultats d'une enquête menée par Symantec
Cybercriminalité : les outils gratuits de piratage sont une porte d'entrée pour les adolescents, 61 % des pirates auraient commencé avant 16 ans

[marsupial]

Au printemps, je suis tombé sur un article basé sur l'analyse d'une entreprise de sécurité relatant l'exposition de 1,5 milliards de documents concernant des données sensibles en libre accès sur Internet. Tout ne peut pas être parfaitement mis en sûreté mais un minimum de précaution serai loin d'être inutile.