Timehop公布了一次涉及 2100 万用户的数据泄露(包括名字和邮件)。大约有五分之一的用户—— 470 万——泄露的账户中附带了手机号码。

　　这家创企的服务内置于用户的社交网络账户中，能帮助他们寻找之前已经遗忘的发布内容和照片。它表示自己发现时，这场攻击已经发生了，当时大约是 7 月 4 日美国东部时间2：04，公司在两小时 19 分钟后将其服务关闭，以避免剩余数百万用户的数据遭到泄露。

　　根据公司早期的调查，攻击者最早在 12 月份利用窃取的管理员凭证访问了Timehop的云环境，并在之后的数天内进行了勘查，之后它又在 3 月和 7 月的某一天重复进行过勘查，最后选择在美国国庆日的假期中(也就是 7 月 4 日)发动了攻击。

　　Timeho于本周六在一则博客中公开了这次攻击，也就是遭受攻击后的第三天。它强调了本次攻击中，所有社交媒体内容、金融数据以及Timehop平常从第三方社交网络中提取的数据都没有受到影响，但是允许别人阅读和展示用户社交内容的密钥遭到了攻击，因此公司已经让所有的密钥无效化，这意味着Timehop的用户需要对其应用进行重新授权才能继续使用其服务。

　　“如果你发现所有内容都无法加载，这是因为Timehop预先停用了这些服务。我们没有任何证据能表明哪个账户能在没有授权的情况下进行访问。”它写道。

　　它也确实承认了，“从理论上讲”这些通证能让未授权者在“短时间内”访问Timehop用户的社交媒体发布内容——但它也强调“目前没有任何证据表明这种事情发生过”。

　　“我们要声明的是，这些通证不可能让别人(包括Timehop)访问用户的Facebook Messenger、Direct Messages或Instagram，同时也看不到你朋友在Facebook上发布的东西。总的来说，Timehop只能访问到用户自己之前发布的媒体内容。”它补充道。

责任编辑：韩希宇