O Timehop, serviço que permite aos usuários viajarem no tempo e revisitarem postagens do passado de suas redes sociais, está informando o vazamento de dados de 21 milhões de seus utilizadores. A brecha aconteceu no dia 4 de julho, quando uma invasão hacker comprometeu os bancos de dados do serviço, dando acesso a informações como nomes completos e endereços de e-mail dos utilizadores.
Além desses dados, os criminosos também tiveram acesso a 4,7 milhões de números de telefone que estavam associados às contas daqueles que tiveram suas informações comprometidas. Segundo a empresa, a porta de entrada utilizada pelos hackers já foi fechada e a intrusão foi combatida imediatamente, mas não sem antes comprometer a segurança dos dados armazenados na plataforma.
A empresa afirma que os tokens usados para realizar a interface entre os serviços do Timehop e as redes sociais Facebook, Twitter e Instagram também foram comprometidos, mas, aqui, não houve brecha de segurança. De acordo com o comunicado oficial, tal ato permitiria aos hackers o mesmo tipo de acesso dado pelos usuários à própria companhia – ou seja, a visualização de posts públicos –, mas essa brecha não teria sido aproveitada pelos criminosos.
Ainda assim, a companhia decidiu desautorizar os recursos comprometidos, o que vai exigir que algumas pessoas tenham que refazer o processo de login e vínculo de contas. O Timehop se comprometeu a informar todos os usuários afetados individualmente, exigindo troca de senha e medidas adicionais de segurança na próxima vez que eles tentarem utilizar o serviço.
A origem da falha se deu em uma credencial de acesso aos sistemas de cloud computing da companhia, que, por falha de um administrador, não possuía a função de autenticação em dois fatores ativada como deveria. A brecha já foi resolvida e, agora, todos os caminhos para acesso aos sistemas internos da empresa já contam com a medida de segurança implementada.
O Timehop pede que os usuários fiquem atentos a tentativas de golpes por e-mail, principalmente com criminosos tentando se passar pela própria companhia. O alerta é feito especialmente para as 4,7 milhões de pessoas que tiveram seus números de telefone vazados, uma vez que eles podem ser clonados ou utilizados para tentativas adicionais de golpes ou intrusões a serviços.
Entretanto, pelo menos de acordo com o serviço, ainda não existem registros de que os dados roubados foram, efetivamente, utilizados para fins maliciosos. O conjunto obtido pelos hackers também não foi disponibilizado na internet, pelo menos até o momento em que esta reportagem é escrita.