Timehop แถลงเกิด Security Breach กระทบผู้ใช้งานทั้งหมด

เกิดเหตุการณ์รั่วไหลด้านความมั่นคงปลอดภัยกับ Timehop หรือ แอปพลิเคชันมือถือที่เก็บรูปถ่ายและโพสต์ในอดีตของผู้ใช้งาน Social Media ณ วันนั้นของปีในอดีต (เหมือนที่ Facebook โชว์รูปเก่า ณ วันที่เดียวกันแต่คนละปี) ทางบริษัทได้แถลงว่าเหตุการณ์ครั้งนี้ส่งผลกับผู้ใช้งานทั้งหมดกว่า 21 ล้านคน

Credit : Bleepingcomputer.com

ผู้ใช้งานทุกคนได้รับผลกระทบไม่เหมือนกัน โดยทางบริษัทชี้แจงว่าแฮ็กเกอร์ได้เข้าถึงโครงสร้างพื้นฐานและขโมยรายละเอียดของผู้ใช้งานไป เช่น ชื่อผู้ใช้ อีเมล เบอร์โทรศัพท์ และ Access Key ประเด็นคือแฮ็กเกอร์ได้ Access Key ของผู้ใช้งานไปทั้งหมด 21 ล้านคน ซึ่งมันสามารถใช้เชื่อมบัญชีของ Timehop กับบัญชีของ Social Media เพื่อให้แอปพลิเคชันเข้าไปดึงโพสต์และรูปเก่ามาได้ อย่างไรก็ตามบริษัทยืนยันว่าได้ทำการ De-authentication ทุกบัญชีแล้ว ดังนั้นแฮ็กเกอร์จะไม่สามารถใช้งาน Access Key เพื่อเรียกข้อมูลของผู้ใช้งานจากบัญชี Third-party ได้ เช่น Facebook, Facebook Messenger, IG หรือ Twitter

จากหลักฐานคาดว่าแฮ็กเกอร์เข้ามาในระบบตั้งแต่วันที่ 19 เดือนธันวาคมปีที่แล้ว โดยได้รับสิทธิ์ระดับผู้ดูแลในการเข้าถึงโครงสร้างพื้นฐานของ Timehop บน Cloud ซึ่งบริษัทกล่าวว่าผิดเองที่ไม่สามารถรักษาความมั่นคงปลอดภัยด้วย Multi-factor Authentication ได้ทำให้มีช่องโหว่ จากนั้นแฮ็กเกอร์ได้ล็อกอินเข้ามา 4 วันแยกกันในเดือนแรก และ มีนาคม มิถุนายน ปี 2018 ตามลำดับเพื่อทำการปฏิบัติการโจมตีและไม่เคยถูกสังเกตจนกระทั่ง 4 กรกฎาคมที่ผ่านมาเมื่อผู้บุกรุกเริ่มนำข้อมูลบริษัทออกและถูกพบหลังจากแฮ็กเกอร์เข้าแล้วประมาณ 2 ชั่วโมง 19 นาที จึงถูกตัดการเข้าถึง

ตอนนี้ Timehop ได้ทำการป้องกันหลังเกิดเหตุด้วยการใช้ Multi-factor Authentication และเพิ่มมาตรการด้านความมั่นคงปลอดภัยอื่นๆ เข้ามา พร้อมทั้งทำงานประสานงานกับทางฝ่ายบังคับใช้กฏหมายด้วยเพื่อจัดการผู้กระทำความผิดในครั้งนี้

ที่มา : https://www.bleepingcomputer.com/news/security/timehop-security-breach-affects-the-company-s-entire-21-million-userbase/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ฟรีคอร์สออนไลน์ Ethical Hacking: Hacking the Internet of Things (IoT)

Pluralsight ศูนย์รวมคอร์สออนไลน์ทางด้านเทคโนโลยี เปิดคอร์สอบรมเรื่อง Ethical Hacking: Hacking the Internet of Things (IoT) เพื่อเสริมความรู้และทักษะทางด้านความมั่นคงปลอดภัยของ Internet of Things …

Cisco แพตช์ช่องโหว่รุนแรงสูงบน IOS XE แนะเร่งอัปเดต

Cisco ได้ประกาศแพตช์อุดช่องโหว่ระดับรุนแรงสูงบนซอฟต์แวร์ IOS XE ซึ่งเป็นช่องโหว่ Cross-site request forgery (CSRF) บน Web UI ที่ทำให้คนร้ายสามารถเข้าไปปฏิบัติการอันตรายในระดับสิทธิ์ของเหยื่อที่กำลังล็อกอินใช้งานได้