Socialemediadienst Timehop waarschuwt 21 miljoen gebruikers na datalek

De dienst Timehop van het Amerikaanse DoubleDub, die gebruikers oude foto's van socialmedia-accounts toont, heeft gewaarschuwd dat bij een datalek de gegevens van 21 miljoen gebruikers zijn buitgemaakt, waaronder namen, e-mailadressen, telefoonnummers en api-tokens.

Volgens het bedrijf gaat het bij de gegevens van 21 miljoen gebruikers om namen en e-mailadressen, terwijl bij 4,7 miljoen mensen ook het telefoonnummer is buitgemaakt. Daarnaast was er toegang tot api-tokens, waarmee Timehop bij de geplaatste berichten en foto's van verschillende socialemedia-aanbieders kon. Die zijn inmiddels niet meer geldig, nadat ze door Timehop zijn ingetrokken.

Het bedrijf zegt dat het mogelijk is dat er toegang was tot geplaatste foto's en berichten, maar niet tot privéberichten. Omdat de sleutels zijn ingetrokken, bijvoorbeeld bij diensten als Google Photos en Dropbox, moeten gebruikers deze diensten opnieuw autoriseren. Er zouden geen aanwijzingen zijn dat er daadwerkelijk toegang tot gegevens op sociale media is geweest, claimt de dienst.

Timehop meldt dat het op 4 juli merkte dat er onbevoegde toegang was tot zijn netwerk. Dat zou zijn gebeurd doordat een aanvaller inloggegevens voor 'een van zijn cloudomgevingen' had buitgemaakt en dat account niet was beschermd door tweetrapsauthenticatie. De eerste toegang tot de server van Timehop vond plaats op 19 december 2017, toen een 'onbevoegde gebruiker' een nieuw beheerdersaccount aanmaakte. Vervolgens was de aanvaller twee dagen in de omgeving aanwezig, gevolgd door een dag in maart en een dag in juni. Volgens Timehop voerde de aanvaller een 'verkenning' uit.

Alle Europese gebruikers zouden zijn ingelicht over het voorval. Timehop is een dienst die bijvoorbeeld foto's van sociale media van een of twee jaar terug toont, om zo 'herinneringen te vieren'.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 09-07-2018 11:03
21 • submitter: HKLM_

09-07-2018 • 11:03

21

Submitter: HKLM_

Lees meer

Hotelketen Marriott meldt diefstal gegevens van half miljard klanten
Hotelketen Marriott meldt diefstal gegevens van half miljard klanten Nieuws van 30 november 2018
Defensie blokkeert fitness-apps op smartphones na datalek Polar Flow
Defensie blokkeert fitness-apps op smartphones na datalek Polar Flow Nieuws van 9 juli 2018
Persgroep: van minder dan één procent ook bankgegevens uitgelekt bij hack
Persgroep: van minder dan één procent ook bankgegevens uitgelekt bij hack Nieuws van 4 juli 2018
De Persgroep lekt 350.000 e-mailadressen door hack op klantenservicedatabase
De Persgroep lekt 350.000 e-mailadressen door hack op klantenservicedatabase Nieuws van 29 juni 2018
Quiz op Facebook lekte informatie over ingelogde gebruikers
Quiz op Facebook lekte informatie over ingelogde gebruikers Nieuws van 28 juni 2018
Ticketmaster UK waarschuwt deel van gebruikers voor datalek via leverancier
Ticketmaster UK waarschuwt deel van gebruikers voor datalek via leverancier Nieuws van 28 juni 2018
Orange waarschuwt klanten na diefstal van persoonsgegevens
Orange waarschuwt klanten na diefstal van persoonsgegevens Nieuws van 15 juni 2018
Britse Dixons Carphone meldt lek van 5,9 miljoen creditcardgegevens
Britse Dixons Carphone meldt lek van 5,9 miljoen creditcardgegevens Nieuws van 13 juni 2018
Meer producten en artikelen
Privacy Datalek Social media

Reacties (21)

-Moderatie-faq
21
19
6
1
0
9
Wijzig sortering

Sorteer op:

Weergave:
RVervuurt 9 juli 2018 11:13
En dit is één van de redenen dat ik recent alle applicaties verwijderd heb van Facebook en Twitter. Teveel van de websites en apps waar je in kan/kon loggen met FB/Twitter hebben flinke lekken gehad de laatste paar jaar. Nu maak ik alleen nog maar accounts aan met m'n mail en een sterk wachtwoord wat ik laat genereren.

Kan ik geen account maken met m'n mail, maak ik dus geen account op je website. Zo simpel is het.
batjes @RVervuurt9 juli 2018 13:47
De reden dat ik FB ook niet ben gaan gebruiken om overal in te loggen. Je raakt je controle kwijt. Als ik ineens password reset in mijn inbox ontvang dan weet ik genoeg. Helemaal als meerdere communities/websites met dezelfde soort mailtjes in mijn inboxen belandt. Zonder toegang tot mijn mail kan je toch vrijwel nergens wachtwoorden resetten.
Verwijderd @RVervuurt9 juli 2018 14:29
Het account/inlog is op zich geen probleem. Wel als je toestemming gaat geven voor rechten tot je FB of Twitter data, dat is ook wat er hier is gestolen met die api tokens.

Als ik jou toestemming geef om met je FB account in te loggen hoef ik geen FB gegevens van jou op te slaan behalve je email als account identificatie. Na het inloggen/authorisatie bij fb, google of whatever genereer ik een eigen toegangstoken met een bepaalde geldigheid, om je te herkennen gebruik ik je email adres. Ik heb dus geen wachtwoord, API tokens of wat dan ook nodig van FB (of andere) nodig, alleen een autorisatie melding dat jij bent wie je zegt bij fb en je email.

Ik kan mij het argument zelfs voorstellen dat het veiliger is doordat je centraal je autorisatie kan beheren.
RVervuurt @Verwijderd9 juli 2018 16:35
Ik snap je punt, want als je inderdaad alleen het emailadres gebruikt, is het misschien zelfs veiliger als het allemaal centraal geregeld is (totdat die database gehacked wordt, natuurlijk). Echter zijn er een heleboel pagina's en apps die om toestemming tot een heleboel meer vragen. Soms "nodig" ("op welke celeb lijk je?"), soms helemaal niet.

Gelukkig kan je die optionele informatie vaak gewoon uitzetten, maar het probleem is dat die zooi vaak verstopt staat achter een knop of link. Vaak een link in grijze tekst, naast een blauwe of groene knop waar je toestemming mee geeft. Dat zorgt ervoor dat ik, zeker in het begin van m'n Facebook- en Twitter-dagen, nogal eens toestemming heb gegeven tot m'n vriendenlijst, tijdlijn en dat soort dingen. Ook bleek ik een aantal apps toestemming te hebben gegeven om te posten namens mij, maar dat is dan voornamelijk als ik vanuit een app iets wil delen. Totdat die app gehacked wordt, dus.

Nogmaals, ik snap je punt zeker wel, want het klinkt inderdaad beter dat je maar één ding van me weet (email) dan twee (email en wachtwoord), maar toch kies ik ervoor om het geheel in eigen beheer te houden met gegenereerde wachtwoorden in een wachtwoordenprogramma.
iketot 9 juli 2018 11:17
Had dit verhaal eerder gelezen op nu.nl, en die schrijven enkel dit ;
Timehop detecteerde de hack rond 20:00 uur op zondagavond 8 juli terwijl die nog in gang was, meldt het bedrijf. Timehop kon de datadiefstal stoppen, maar niet voordat data van miljoenen gebruikers was buitgemaakt.
Ik dacht nog bij mezelf, zo een bedrijf dat binnen 1 dag melding maakt, pers informeert, users informeert en het lek opmerkt terwijl het bezig is. Goed bezig!

Maar uit jullie bericht haal ik wel een heel ander verhaal..
Bensimpel 9 juli 2018 11:17
Gebruik zelf timehop, erg leuk om te zien wat je bijvoorbeeld 4 jaar geleden deed enzo. (soort van facebook memories) maar dan ook voor google, twitter, Instagram enzo)

Merkte vanmorgen inderdaad dat ik alles opnieuw moest koppelen..
wica 9 juli 2018 11:09
Tja, is het risico van tokens.
Een online applicatie toegang geven tot een andere online applicatie.

Maar een betere oplossing kan ik zo niet bedenken.
Koen Hendriks @wica9 juli 2018 11:11
Ik denk dat hier het goede van Tokens juist naar voren komt, de tokens kunnen meteen ingetrokken worden en zijn niet meer geldig.
wica @Koen Hendriks9 juli 2018 11:14
Als ik het goed lees, zijn de tokens al sinds 19 december 2017 te misbruiken. Alle token die dus bij hun bekent waren.
Na de ontdekking, van dit probleem hebben ze alle tokens gelijk ingetrokken.
Tivoler @wica9 juli 2018 11:14
Een goede token werkt alleen op sessie basis, URL, en wat je nog meer in de token hebt gepropt om te checken, dit kan zelfs source IP zijn.

Dan moet je nog steeds wel de key uit de sessie hebben wil je er iets mee kunnen.

Verder is @Koen Hendriks right.
wica @Tivoler9 juli 2018 11:16
Wie zijn sessie?
Als ik het goed begrijp, geef ik Timehop toestemming (token) op direct te communiceren met bijvoorbeeld de servers van twitter vanuit mijn naam.
Tivoler @wica9 juli 2018 12:10
Je kan gewoone en daemon daar voor draaien zodat een token alleen beschikbaar is wanneer nodig.
Robbaman @Tivoler9 juli 2018 12:41
Volgens mij gaat het hier juist om een langdurige toestemming. Je wilt niet elke dag opnieuw toestemming hoeven te verlenen. Je krijgt dus vanuit Twitter ofwel een token die lang geldig is, of een refresh token waarmee kort geldige tokens kunnen worden aangevraagd.

In elk geval zal er bij de afnemende dienst een token beschikbaar moeten zijn die een langere tijd bruikbaar is zonder tussenkomst van een persoon als je ervoor wilt zorgen dat je niet elke dag/uur/week opnieuw toestemming moet geven voor een nieuwe token.
Tivoler @Robbaman9 juli 2018 12:53
True maar dat kun je zelfs zeer secure maken dat je die keys eigenlijk nooit via je App in één keer leeg kan trekken.

At the other side: dit zegt gewoon wat over slechte ontwikkeling/beheer. Strikt genomen is alles te hacken maar alks je app gewoon goed is kan je app gewoon alle data benaderen welke hij nodig heeft.
Verwijderd 9 juli 2018 11:10
Heel naar allemaal! ik hoop dat de meeste tweakers niet geleden hebben onder deze leak.
Tivoler 9 juli 2018 11:10
Dat krijg je met dergelijke concepten welke geen verdienmodel hebben in plaats van een aantal advertenties waar men van hoopt dat erop geklikt wordt.

Zo zijn er velen overigens waar dit in de toekomst zal gebeuren.
DragonChaser 9 juli 2018 11:58
Kan je met timehop ook zien wat anderen hebben verwijderd int verleden? :o
Bensimpel @DragonChaser9 juli 2018 12:22
Nee, alleen dingen van jezelf.
shades 9 juli 2018 11:13
Nooit van gehoord - timehop...
Ik ben echt blij dat ik niet zo veel heb met socialmedia.. Je hele leven ligt op straat

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq