Timehop แถลงเกิด Security Breach กระทบผู้ใช้งานทั้งหมด

เกิดเหตุการณ์รั่วไหลด้านความมั่นคงปลอดภัยกับ Timehop หรือ แอปพลิเคชันมือถือที่เก็บรูปถ่ายและโพสต์ในอดีตของผู้ใช้งาน Social Media ณ วันนั้นของปีในอดีต (เหมือนที่ Facebook โชว์รูปเก่า ณ วันที่เดียวกันแต่คนละปี) ทางบริษัทได้แถลงว่าเหตุการณ์ครั้งนี้ส่งผลกับผู้ใช้งานทั้งหมดกว่า 21 ล้านคน

Credit : Bleepingcomputer.com

ผู้ใช้งานทุกคนได้รับผลกระทบไม่เหมือนกัน โดยทางบริษัทชี้แจงว่าแฮ็กเกอร์ได้เข้าถึงโครงสร้างพื้นฐานและขโมยรายละเอียดของผู้ใช้งานไป เช่น ชื่อผู้ใช้ อีเมล เบอร์โทรศัพท์ และ Access Key ประเด็นคือแฮ็กเกอร์ได้ Access Key ของผู้ใช้งานไปทั้งหมด 21 ล้านคน ซึ่งมันสามารถใช้เชื่อมบัญชีของ Timehop กับบัญชีของ Social Media เพื่อให้แอปพลิเคชันเข้าไปดึงโพสต์และรูปเก่ามาได้ อย่างไรก็ตามบริษัทยืนยันว่าได้ทำการ De-authentication ทุกบัญชีแล้ว ดังนั้นแฮ็กเกอร์จะไม่สามารถใช้งาน Access Key เพื่อเรียกข้อมูลของผู้ใช้งานจากบัญชี Third-party ได้ เช่น Facebook, Facebook Messenger, IG หรือ Twitter

จากหลักฐานคาดว่าแฮ็กเกอร์เข้ามาในระบบตั้งแต่วันที่ 19 เดือนธันวาคมปีที่แล้ว โดยได้รับสิทธิ์ระดับผู้ดูแลในการเข้าถึงโครงสร้างพื้นฐานของ Timehop บน Cloud ซึ่งบริษัทกล่าวว่าผิดเองที่ไม่สามารถรักษาความมั่นคงปลอดภัยด้วย Multi-factor Authentication ได้ทำให้มีช่องโหว่ จากนั้นแฮ็กเกอร์ได้ล็อกอินเข้ามา 4 วันแยกกันในเดือนแรก และ มีนาคม มิถุนายน ปี 2018 ตามลำดับเพื่อทำการปฏิบัติการโจมตีและไม่เคยถูกสังเกตจนกระทั่ง 4 กรกฎาคมที่ผ่านมาเมื่อผู้บุกรุกเริ่มนำข้อมูลบริษัทออกและถูกพบหลังจากแฮ็กเกอร์เข้าแล้วประมาณ 2 ชั่วโมง 19 นาที จึงถูกตัดการเข้าถึง

ตอนนี้ Timehop ได้ทำการป้องกันหลังเกิดเหตุด้วยการใช้ Multi-factor Authentication และเพิ่มมาตรการด้านความมั่นคงปลอดภัยอื่นๆ เข้ามา พร้อมทั้งทำงานประสานงานกับทางฝ่ายบังคับใช้กฏหมายด้วยเพื่อจัดการผู้กระทำความผิดในครั้งนี้

ที่มา : https://www.bleepingcomputer.com/news/security/timehop-security-breach-affects-the-company-s-entire-21-million-userbase/

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …