donnees utilisateur
Produits et Services PRODUITS & SERVICES

Vos données utilisateur sur Timehop potentiellement la cible de hackers !

Timehop, l'application qui fait de chaque jour, un jour spécial, vous rappelant ce que vous faisiez ce jour-là l'année dernière, il y a trois ans, il y a cinq ans, et ainsi de suite, vient d'être victime d'une violation de données.
Texte écrit par
11 juillet 2018
Protection des données

Vous vous souvenez de Timehop, l’application spécialisée dans la “nostalgie numérique” ?

Non ? Eh bien nous non plus ! Mais l’entreprise dispose toujours d’une base de données d’environ 21 000 000 utilisateurs qui ont autorisé l’application à parcourir leurs photos numériques et leurs publications sur les réseaux sociaux, et ce même s’ils n’utilisent plus le service Timehop !

L’idée lancée par cette application est de faire de chaque journée un jour anniversaire, vous rappelant ce que vous faisiez ce jour-là l’année dernière, il y a trois ans, il y a cinq ans, et ainsi de suite.

L’application a été brièvement populaire il y a quelques années, avant que Facebook ne créé une fonctionnalité similaire, connue sous le nom de On This Day, dans son propre réseau social.  La bonne nouvelle est qu’une application tierce comme Timehop ​​ne peut pas fonctionner sans votre permission.donnees utilisateur

L’application Timehop ​​doit recevoir votre autorisation, et utiliser des clés cryptographiques (connues dans le jargon comme des jetons d’accès), pour entrer dans les différents services en ligne à partir desquels vous voulez que les photos et les messages soient récupérés.

Les jetons d’accès de ce type, par utilisateur et par service sont une excellente idée (en particulier, ce système signifie que vous n’avez jamais partager vos mots de passe avec un tiers), tant que la compagnie qui détient les jetons ne laisse pas des cybercriminels rôder et s’en emparer.

La mauvaise nouvelle est que Timehop ​​vient d’annoncer une violation de données.

Le 4 juillet 2018, Timehop ​​a été victime d’une intrusion au sein de son réseau, conduisant à une violation de certaines de vos données utilisateur. Nous avons appris l’existence de cette faille alors qu’elle était encore en cours et avons pu l’interrompre, mais des données ont été récupérées. Bien que nos investigations concernant cet incident (et la possibilité de tout incident antérieur ayant pu se produire) se poursuivent. Nous écrivons à l’heure actuelle pour fournir à nos utilisateurs et partenaires toutes les informations nécessaires, et ce le plus rapidement possible.

Timehop ​​déclare que les données utilisateur suivantes ont été volées :

  • Des jetons d’accès à vos services de réseau social et de photos en ligne (les 21 000 000 d’utilisateurs sont concernés).
  • L’intégralité ou une partie de votre nom d’inscription, adresse email et numéro de téléphone (tous les utilisateurs n’avaient pas rempli tous ces champs. Par exemple, seulement 4,7 millions d’utilisateurs, à savoir moins d’un quart, avaient renseigné leur numéro de téléphone).

Timehop ​​a déjà invalidé tous les jetons d’accès dont il disposait, ce qui a permis de déconnecter efficacement chaque compte Timehop ​​de tous services et d’éviter tout dommage supplémentaire.

Si vous êtes un utilisateur de Timehop et que vous souhaitez que l’application continue de fonctionner, vous devrez la reconnecter aux différents services de votre choix.

L’entreprise dit qu’il n’y a aucune preuve que les données utilisateur volées aient été utilisées à des fins criminelles, même si les adresses email volées ainsi que les numéros de téléphone pourraient être utilisés à l’avenir, mis en ligne gratuitement, ou vendus à d’autres cybercriminels ultérieurement.

Heureusement, les cybercriminels ne sont pas allés plus loin :

Aucune donnée financière, message privé, message direct, photo de l’utilisateur, contenu utilisateur sur les réseaux sociaux, numéro de sécurité sociale ou autre donnée personnelle n’a été piratée.  

Comme vous pouvez l’imaginer, un service qui récupère vos photos numériques et vos anciens messages afin de les ressortir plus tard fini inévitablement par contenir une grande quantité de données utilisateur, mais ces bases de données, selon nos informations, n’ont pas été visitées par les cybercriminels.

Que s’est-il passé ?

Tout comme dans le cas de la violation ayant ciblé Gentoo Linux dont nous avons parlé récemment, cette situation normale et pas surprenante semble se résumer à ce que l’on pourrait appeler de la “négligence dans le cloud”.

Timehop, semble-t-il, avait des comptes sysadmin hébergés sur des serveurs tiers qui n’étaient pas suffisamment sécurisés :

À 14h04 (US Eastern Time), le 4 juillet 2018, Timehop ​​a constaté une intrusion dans son réseau. Cette violation est survenue à cause d’un identificateur d’accès à notre environnement cloud computing qui a été compromis. Ce compte de cloud computing n’avait pas été protégé par l’authentification multifactorielle. Nous avons maintenant pris des mesures qui incluent l’authentification multifactorielle pour sécuriser nos contrôles d’autorisation et d’accès sur tous les comptes.  

Si vous vous rappelez de l’incident de Gentoo Linux, qui nous a amené à dire que “les experts Linux étaient très mauvais au niveau des mots de passe“, vous verrez que l’histoire s’est répétée ici.

En fait, la violation de Timehop ​​s’est produite avant celle de Gentoo.

Même si l’entreprise se réfère à plusieurs reprises au 4 juillet 2018 dans sa notification de violation de données, elle a également publié une analyse plus détaillée dans laquelle elle admet que les cybercriminels ont réussi à pénétrer le 19 décembre 2017 (pendant trois jours), puis sont revenus brièvement en mars 2018 et juin 2018, avant l’attaque du 4 juillet 2018, au cours de laquelle nous avons appris que des données utilisateur avaient été volées.

Il arrive souvent que des cyberattaques réussies se soient déroulées sur une période assez longue. Après tout, il est difficile de savoir où chercher exactement, et ce qu’il faut d’ailleurs rechercher au juste, si vous ne savez pas que des actes malveillants ont été commis en amont.

Quoi faire ?

Si vous êtes un fournisseur de services :

  • Choisissez des mots de passe efficaces. Si vous avez besoin d’aide pour choisir et mémoriser des mots de passe forts, utilisez un gestionnaire de mots de passe.
  • Insistez sur l’authentification à deux facteurs. L’inconvénient de mettre en place un code unique, chaque fois que vous vous connectez, est largement compensé par la sécurité supplémentaire dont votre entreprise bénéficiera en échange.
  • Vérifiez vos logs. Il n’y a pas grand intérêt à conserver les logs du système si vous ne les utilisez que lorsqu’il est trop tard.

Si vous êtes un utilisateur de Timehop :

  • Vérifiez toutes les applications qui ont accès à des comptes tels que Twitter, Facebook, Google Photos, etc. Révoquez l’accès à toutes les applications que vous n’utilisez plus activement.


Billet inspiré de Your social media memories may have been compromised, sur Sophos nakedsecurity.

Sophos
À propos de l’auteur

Lire des articles similaires

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *