Vazamento de dados do Timehop foi pior do que o revelado originalmente

O Timehop anunciou nesta quarta-feira (11) novos números relacionados à invasão hacker que sofreu durante o feriado americano do 4 de julho. De acordo com a companhia, o volume de dados comprometidos pelos criminosos é maior do que o divulgado anteriormente, já que os responsáveis, na pressa de revelar as informações ao público, acabaram falando mais em estimativas do que fatos reais.

Na falha, os hackers tiveram acesso a um conjunto de 18,6 milhões de e-mails e 15,5 milhões de datas de nascimento. Além disso, o Timehop afirma que 3,3 milhões de registros “completos” foram acessados, o que inclui não apenas estas duas informações, mas também nomes completos, números de celular e o gênero dos utilizadores, em mais um dado que não fazia parte da revelação inicial.

A informação inicial era de 21 milhões de usuários afetados pela falha na segurança, com, agora, esse total caindo para 18,6 milhões. Por outro lado, o total de registros completos e datas de nascimento revelados antes era menor, o que faz com que, na soma, o Timehop não tenha boas notícias para anunciar, mas sim apenas números mais precisos sobre a extensão da invasão sofrida.

Em comunicado, a companhia citou uma série de razões para a publicação de dados não exatos, desde a vontade de anunciar a falha e avisar a seus usuários o mais rapidamente possível até a ausência de muitos de seus funcionários, devido ao feriado de 4 de julho, quando os Estados Unidos comemoram sua independência, além das novas regras de privacidade passadas recentemente na União Europeia. Uma auditoria foi iniciada na segunda-feira (09), com a empresa chegando às informações finais reveladas agora.

Além disso, ao voltar a falhar sobre a brecha, o Timehop deixou claro que não carrega informações financeiras ou bancárias dos usuários nem realiza o rastreamento de sua utilização para fins de publicidade direcionada. As “memórias” dos usuários, como a empresa chama as publicações do passado que podem ser visualizadas de forma mais fácil pela plataforma, também não foram comprometidas.

A companhia voltou a afirmar, também, que não houve uma quebra em seus sistemas de segurança, mas sim um deslize, pelo qual pediu desculpas. A invasão aconteceu por meio de uma credencial de acesso aos sistemas de cloud computing da companhia, que não tinha a autenticação em duas etapas ativada como deveria. Esse erro também já foi corrigido e, agora, todas as plataformas usadas pela empresa estão protegidas.

Ainda, o Timehop pede que seus usuários fiquem atentos a tentativas de golpe e roubo de identidade, principalmente por e-mail. O serviço disse ter entrado em contato com os atingidos ao revelar a falha para o público e que, agora, com os números mais precisos, fará isso novamente.

O Timehop alega ter conseguido localizar os endereços de IP e horários da invasão, compartilhando essa informação com autoridades e parceiros de segurança, além de estar intensificando ainda mais a proteção de seus sistemas contra acessos não-autorizados, e ter desativado todos os tokens atingidos pela falha e usados para conexão entre a plataforma e as redes sociais. Os usuários afetados terão que realizar a ligação entre os serviços novamente para que a plataforma volte a funcionar normalmente.

Fonte: TechCrunch