Timehopはフェイスブックやインスタグラム、ツイッター、ドロップボックスのアカウントを関連付けることにより、過去の投稿をまとめて表示するアプリだ。1年前や2年前の投稿を振りかえって、一種のタイムマシン的な感覚が味わえるとの評価を獲得していた。
しかし、このアプリはまさにハッカーが欲しがる情報を持っているものだった。ユーザーの個人情報を得られるだけでなく、過去数年にわたるSNSでのアクティビティも把握できる可能性があるからだ。
Timehopによると2017年12月19日、正体不明の人物がクラウドベースのサーバーへのアクセスに成功した。このハッカーは20日と21日にもログインし、攻撃の下準備を行った。そして3月と6月にもアクセスしたあと、7月4日に攻撃を実行したという。
ハッカーはデータベースにアクセスしてデータを抽出。この行為はすぐに検知され、運営元は90分後にはハッカーがアクセスできない状態にしたという。
しかし、サイバーセキュリティにおいて90分はかなりの時間であり、すでに大きな被害が出ていた。ハッカーはユーザー名、メールアドレス、電話番号、Timehopのアクセスキーを盗むことに成功していた。しかし、パスワードは盗まれておらず、電話番号を登録していたユーザーが4分の1以下だったことは不幸中の幸いといえるかもしれない。しかし、500万人の電話番号が流出したとされている。
Timehopは攻撃の被害が拡大しないよう、全てのアクセスキーを無効化し、全ユーザーに対し2段階認証を必須とした。Timehopのアカウントで不審な動きがあるものは、今のところないという。今回の流出事件に関する調査は今も続いており、捜査機関とも協力しているという。
このようなアプリからの個人情報の流出事件は、自分に関係ないと思いがちだ。しかし、数千万人のユーザーを抱え、SNSアカウントと関連付けられるアプリで流出が起きたというのは深刻な事態だ。
Timehop以外のアプリでも、フェイスブックやインスタグラム、ツイッターなどのSNSと連携させるようなアプリを使う場合、ハッカーによって自分の個人情報が盗まれるリスクが高まることを忘れてはならない。
