Đáng lo ngại là công ty này cho biết những kẻ đánh cắp dữ liệu đã truy cập các “token truy cập” của Timehop mà cho phép ứng dụng của công ty này hiển thị những đăng tải truyền thông xã hội cũ từ các dịch vụ như Facebook và Instagram.
“Các token này có thể cho phép người có ý đồ xấu xem xét các đăng tải truyền thông xã hội cũ mà không được phép”, công ty này cho biết.
Timehop đã loại trừ cả các token và cho biết không có bằng chứng là bất cứ ai truy cập vào các dữ liệu truyền thông xã hội. Công ty này thêm cho biết lỗ hổng này đã bắt đầu từ hồi tháng 12 năm ngoái nhưng họ chỉ nhận ra lỗi này vào tháng 7 này.
“Điều quan trọng là chúng tôi muốn thông báo đã có một cửa sổ trong một thời gian ngắn về lý thuyết cho phép những người sử dụng không được phép tiếp cận các đăng tải cũ trên mạng xã hội… chúng tôi không thấy có bằng chứng là điều này thực tế đã xảy ra”, công ty sở hữu ứng dụng này cho biết.
Công ty này cho biết các tên tuổi, địa chỉ thư điện tử và một số lượng số điện thoại của 21 triệu người sử dụng đã bị đánh cắp. Tuy nhiên, không có dữ liệu tài chính hay nhắn tin riêng tư nào bị ảnh hưởng.
Timehop cũng thừa nhận lỗ hổng này đã xảy ra do một “người dùng không được phép” có thể tiếp cận vào tài khoản điện toán đám mây của công ty này mà không được bảo vệ bởi xác thực hai yếu tố mạnh.
“Tài khoản điện toán đám mây đó đã được bảo vệ bởi xác thực nhiều yếu tố. Hiện nay chúng tôi đang thực hiện các bước bao gồm xác thực hai yếu tố để bảo vệ sự cho phép và các kiểm soát truy cập trên tất cả các tài khoản”, đại diện Timehop cho biết.
