Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Socialemediadienst Timehop waarschuwt 21 miljoen gebruikers na datalek

De dienst Timehop van het Amerikaanse DoubleDub, die gebruikers oude foto's van socialmedia-accounts toont, heeft gewaarschuwd dat bij een datalek de gegevens van 21 miljoen gebruikers zijn buitgemaakt, waaronder namen, e-mailadressen, telefoonnummers en api-tokens.

Volgens het bedrijf gaat het bij de gegevens van 21 miljoen gebruikers om namen en e-mailadressen, terwijl bij 4,7 miljoen mensen ook het telefoonnummer is buitgemaakt. Daarnaast was er toegang tot api-tokens, waarmee Timehop bij de geplaatste berichten en foto's van verschillende socialemedia-aanbieders kon. Die zijn inmiddels niet meer geldig, nadat ze door Timehop zijn ingetrokken.

Het bedrijf zegt dat het mogelijk is dat er toegang was tot geplaatste foto's en berichten, maar niet tot privéberichten. Omdat de sleutels zijn ingetrokken, bijvoorbeeld bij diensten als Google Photos en Dropbox, moeten gebruikers deze diensten opnieuw autoriseren. Er zouden geen aanwijzingen zijn dat er daadwerkelijk toegang tot gegevens op sociale media is geweest, claimt de dienst.

Timehop meldt dat het op 4 juli merkte dat er onbevoegde toegang was tot zijn netwerk. Dat zou zijn gebeurd doordat een aanvaller inloggegevens voor 'een van zijn cloudomgevingen' had buitgemaakt en dat account niet was beschermd door tweetrapsauthenticatie. De eerste toegang tot de server van Timehop vond plaats op 19 december 2017, toen een 'onbevoegde gebruiker' een nieuw beheerdersaccount aanmaakte. Vervolgens was de aanvaller twee dagen in de omgeving aanwezig, gevolgd door een dag in maart en een dag in juni. Volgens Timehop voerde de aanvaller een 'verkenning' uit.

Alle Europese gebruikers zouden zijn ingelicht over het voorval. Timehop is een dienst die bijvoorbeeld foto's van sociale media van een of twee jaar terug toont, om zo 'herinneringen te vieren'.

Door Sander van Voorst

Nieuwsredacteur

09-07-2018 • 11:03

21 Linkedin Google+

Submitter: HKLM_

Reacties (21)

Wijzig sortering
En dit is één van de redenen dat ik recent alle applicaties verwijderd heb van Facebook en Twitter. Teveel van de websites en apps waar je in kan/kon loggen met FB/Twitter hebben flinke lekken gehad de laatste paar jaar. Nu maak ik alleen nog maar accounts aan met m'n mail en een sterk wachtwoord wat ik laat genereren.

Kan ik geen account maken met m'n mail, maak ik dus geen account op je website. Zo simpel is het.
De reden dat ik FB ook niet ben gaan gebruiken om overal in te loggen. Je raakt je controle kwijt. Als ik ineens password reset in mijn inbox ontvang dan weet ik genoeg. Helemaal als meerdere communities/websites met dezelfde soort mailtjes in mijn inboxen belandt. Zonder toegang tot mijn mail kan je toch vrijwel nergens wachtwoorden resetten.
Het account/inlog is op zich geen probleem. Wel als je toestemming gaat geven voor rechten tot je FB of Twitter data, dat is ook wat er hier is gestolen met die api tokens.

Als ik jou toestemming geef om met je FB account in te loggen hoef ik geen FB gegevens van jou op te slaan behalve je email als account identificatie. Na het inloggen/authorisatie bij fb, google of whatever genereer ik een eigen toegangstoken met een bepaalde geldigheid, om je te herkennen gebruik ik je email adres. Ik heb dus geen wachtwoord, API tokens of wat dan ook nodig van FB (of andere) nodig, alleen een autorisatie melding dat jij bent wie je zegt bij fb en je email.

Ik kan mij het argument zelfs voorstellen dat het veiliger is doordat je centraal je autorisatie kan beheren.
Ik snap je punt, want als je inderdaad alleen het emailadres gebruikt, is het misschien zelfs veiliger als het allemaal centraal geregeld is (totdat die database gehacked wordt, natuurlijk). Echter zijn er een heleboel pagina's en apps die om toestemming tot een heleboel meer vragen. Soms "nodig" ("op welke celeb lijk je?"), soms helemaal niet.

Gelukkig kan je die optionele informatie vaak gewoon uitzetten, maar het probleem is dat die zooi vaak verstopt staat achter een knop of link. Vaak een link in grijze tekst, naast een blauwe of groene knop waar je toestemming mee geeft. Dat zorgt ervoor dat ik, zeker in het begin van m'n Facebook- en Twitter-dagen, nogal eens toestemming heb gegeven tot m'n vriendenlijst, tijdlijn en dat soort dingen. Ook bleek ik een aantal apps toestemming te hebben gegeven om te posten namens mij, maar dat is dan voornamelijk als ik vanuit een app iets wil delen. Totdat die app gehacked wordt, dus.

Nogmaals, ik snap je punt zeker wel, want het klinkt inderdaad beter dat je maar één ding van me weet (email) dan twee (email en wachtwoord), maar toch kies ik ervoor om het geheel in eigen beheer te houden met gegenereerde wachtwoorden in een wachtwoordenprogramma.
Had dit verhaal eerder gelezen op nu.nl, en die schrijven enkel dit ;
Timehop detecteerde de hack rond 20:00 uur op zondagavond 8 juli terwijl die nog in gang was, meldt het bedrijf. Timehop kon de datadiefstal stoppen, maar niet voordat data van miljoenen gebruikers was buitgemaakt.
Ik dacht nog bij mezelf, zo een bedrijf dat binnen 1 dag melding maakt, pers informeert, users informeert en het lek opmerkt terwijl het bezig is. Goed bezig!

Maar uit jullie bericht haal ik wel een heel ander verhaal..
Gebruik zelf timehop, erg leuk om te zien wat je bijvoorbeeld 4 jaar geleden deed enzo. (soort van facebook memories) maar dan ook voor google, twitter, Instagram enzo)

Merkte vanmorgen inderdaad dat ik alles opnieuw moest koppelen..
Tja, is het risico van tokens.
Een online applicatie toegang geven tot een andere online applicatie.

Maar een betere oplossing kan ik zo niet bedenken.
Ik denk dat hier het goede van Tokens juist naar voren komt, de tokens kunnen meteen ingetrokken worden en zijn niet meer geldig.
Als ik het goed lees, zijn de tokens al sinds 19 december 2017 te misbruiken. Alle token die dus bij hun bekent waren.
Na de ontdekking, van dit probleem hebben ze alle tokens gelijk ingetrokken.
Een goede token werkt alleen op sessie basis, URL, en wat je nog meer in de token hebt gepropt om te checken, dit kan zelfs source IP zijn.

Dan moet je nog steeds wel de key uit de sessie hebben wil je er iets mee kunnen.

Verder is @Koen Hendriks right.
Wie zijn sessie?
Als ik het goed begrijp, geef ik Timehop toestemming (token) op direct te communiceren met bijvoorbeeld de servers van twitter vanuit mijn naam.
Je kan gewoone en daemon daar voor draaien zodat een token alleen beschikbaar is wanneer nodig.
Volgens mij gaat het hier juist om een langdurige toestemming. Je wilt niet elke dag opnieuw toestemming hoeven te verlenen. Je krijgt dus vanuit Twitter ofwel een token die lang geldig is, of een refresh token waarmee kort geldige tokens kunnen worden aangevraagd.

In elk geval zal er bij de afnemende dienst een token beschikbaar moeten zijn die een langere tijd bruikbaar is zonder tussenkomst van een persoon als je ervoor wilt zorgen dat je niet elke dag/uur/week opnieuw toestemming moet geven voor een nieuwe token.
True maar dat kun je zelfs zeer secure maken dat je die keys eigenlijk nooit via je App in één keer leeg kan trekken.

At the other side: dit zegt gewoon wat over slechte ontwikkeling/beheer. Strikt genomen is alles te hacken maar alks je app gewoon goed is kan je app gewoon alle data benaderen welke hij nodig heeft.
Heel naar allemaal! ik hoop dat de meeste tweakers niet geleden hebben onder deze leak.
Dat krijg je met dergelijke concepten welke geen verdienmodel hebben in plaats van een aantal advertenties waar men van hoopt dat erop geklikt wordt.

Zo zijn er velen overigens waar dit in de toekomst zal gebeuren.
Kan je met timehop ook zien wat anderen hebben verwijderd int verleden? :o
Nee, alleen dingen van jezelf.
Nooit van gehoord - timehop...
Ik ben echt blij dat ik niet zo veel heb met socialmedia.. Je hele leven ligt op straat


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True