過去を振り返るアプリ「Timehop」、2100万人のユーザー情報が流出
原因は、クラウドコンピューティング環境にアクセスするための認証情報が破られたことにあった。被害に遭ったアカウントは、多段階認証を使っていなかったという。
過去を振り返るアプリ「Timehop」の提供企業は2018年7月8日、同社のネットワークが不正アクセスされ、ユーザー2100万人分の名前や電子メールアドレスなどの情報が流出したと発表した。
Timehopは、自分が過去にFacebookやInstagramなどに投稿した記事や写真を振り返ることのできるアプリで、iOS版やAndroid版が提供されている。
同社の発表によると、2018年7月4日に不正侵入が検知され、その日のうちに侵入を阻止したが、ユーザーの名前と電子メールアドレス、電話番号をログインに使っていたユーザーについてはその情報が流出したという。
さらに、Timehopでユーザーのソーシャルメディアの投稿を読み取るための「アクセストークン」も流出の被害に遭った。このトークンを使えば、他人のソーシャルメディアの投稿を許可なく閲覧できてしまうという。
このため、同社は流出したアクセストークンを失効させる措置を講じた。これによってユーザーのTimehopアプリはログアウトした状態になっている可能性があり、再度ログインしたうえで、使用するサービスごとに認証をやり直す必要がある。現時点でユーザーのアカウントが不正アクセスされた形跡はないと同社は強調している。
一方、Timehopではユーザーのクレジットカード番号や位置情報、IPアドレスなどは保存しておらず、ユーザーがソーシャルメディアに掲載した投稿や写真などの「メモリー」も、本人が見た後に消去しているという。
不正アクセスの原因については、クラウドコンピューティング環境にアクセスするための認証情報が破られたことにあったと報告している。被害に遭ったクラウドコンピューティングアカウントは、多段階認証によって保護する対策を講じていなかったという。同社は攻撃に使われた手口についても詳しい情報を公開している。
今回の事態を受けて同社は、全アカウントについて、多段階認証を含むセキュリティ対策を講じたと説明。捜査当局に通報するとともに、インシデント対応やダークWeb調査などを専門とする企業の協力を得て対応に当たっている。
関連記事
- 自分のアドレスは大丈夫? Firefox、流出被害をチェックできる新ツール提供
自分のメールアドレスやパスワードが流出していないかどうかチェックできるWebサイト「Have I been pwned?」とMozillaが提携し、新ツール「Firefox Monitor」のトライアルを開始する。 - Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ
RAMpageは「Rowhammer」と呼ばれるDRAMの設計上の問題に関連して、欧州や米国の研究チームが発見した脆弱性だ。 - 監視の裏をかく攻撃、ここまで――標的型攻撃、正規ツールを隠れみのにする傾向に
トレンドマイクロが公開した「国内標的型サイバー攻撃分析レポート 2018年版」によると、Windowsに搭載されている正規のツールや正規サービスを隠れみのにする標的型攻撃が顕著に増加している。 - DNA解析サービス「MyHeritage」、ユーザー9200万人の情報が流出
MyHeritageのシステムが不正アクセスされ、ユーザー9230万人の電子メールアドレスと、ハッシュ化されたパスワードが流出していたことが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.