De populaire app Timehop heeft 21 miljoen gebruikers gewaarschuwd voor een datalek nadat aanvallers toegang tot de interne systemen kregen en data buitmaakten. Timehop is een app waarmee het mogelijk is om oude berichten van onder andere Facebook en Twitter op te halen en met vrienden te delen.

Op 19 december wist een aanvaller in te loggen op de cloudprovider van Timehop. Het account dat de aanvaller gebruikte was niet van multifactor-authenticatie voorzien. Nadat de aanvaller was ingelogd maakte hij een nieuw beheerdersaccount aan en begon de cloudomgeving te doorzoeken. De twee opvolgende dagen, alsmede een dag in maart en een dag in juni, logde de ongeautoriseerde gebruiker weer in en vervolgde zijn verkenning.

Op 4 juli werd de aanval tegen de productiedatabase uitgevoerd. Dit veroorzaakte een alarm waarop Timehop-engineers een onderzoek instelden. Anderhalf uur later waren er maatregelen getroffen om de diensten te herstellen en de omgeving af te schermen. Bij de aanval zijn e-mailadressen en namen buitgemaakt. Van 4,7 miljoen gebruikers is ook het telefoonnummer gestolen.

Daarnaast wisten de aanvallers ook de "acces tokens" te stelen. Deze tokens zijn afkomstig van de socialmediasites en hadden door de aanvaller kunnen worden gebruikt om berichten van gebruikers zonder hun toestemming te bekijken. Timehop stelt dat het geen aanwijzingen heeft gevonden dat de tokens ook daadwerkelijk zijn misbruikt. Inmiddels zijn alle tokens ingetrokken en niet meer geldig.

Omdat Timehop alle api-inloggegevens ongeldig heeft verklaard krijgen alle gebruikers het verzoek om opnieuw op Timehop in te loggen en zich bij elke dienst te authenticeren waarvoor ze Timehop willen gebruiken. De miljoenen gebruikers die met een telefoonnummer inloggen krijgen het advies om aanvullende maatregelen met hun telecomprovider te nemen zodat hun nummer niet kan worden overgezet.