Si eres usuario de este servicio, seguro recuerdas la brecha de seguridad sufrida por Timehop el 4 de julio. En su momento aseguraron que no era nada de qué preocuparse. Pero ahora la compañía admite que la brecha fue mucho más grave de lo que se pensó en un principio.
En una actualización de su anuncio original, la compañía ha hecho la revelación. Dicen que el número de cuentas afectadas por la violación (21 millones) no ha cambiado. Sin embargo, la gama de datos personales a los que accedieron los hackers es mucho más amplia.
Timehop ha lanzado una línea de tiempo actualizada de los eventos. Esto ya que inicialmente se sintió forzado por las nuevas reglas de GDPR a publicar algunos detalles de la violación antes de que toda la información hubiera sido recopilada. La compañía dice que tampoco está segura de dónde se encuentra con GDPR. Y está trabajando con especialistas y autoridades de la UE para garantizar el cumplimiento.
En una versión actualizada de su anuncio de seguridad, Timehop revela algunos detalles al respecto de la brecha. Dice que, además de los datos personales a los que se accedió, los hackers también pudieron acceder a otros. Tal es el caso de fechas de nacimiento, códigos de país y detalles de género para algunos usuarios.
La compañía admite que esto es grave. Asimismo, dice que los datos a los cuales accedieron «combinados con otros datos externos pueden permitir identificar a un individuo”. Esto ya que las fechas de nacimiento aumentan aún más esta capacidad de reconocimiento.
La GDPR ha causado dolor de cabeza a Timehop
Para la tarde del pasado domingo 15 de julio, Timehop decidió que era seguro informar a su base de usuarios. Mientras tanto, el jueves, el viernes y el sábado, estuvieron en contacto con abogados en los Estados Unidos y Europa. Esto para tratar de comprender sus responsabilidades en virtud de la GDPR.
Timehop asegura que el tema es bastante complejo: “Nadie tiene experiencia en el manejo de notificaciones, ya que la ley recién entró en vigencia. Para el domingo, sentimos que teníamos suficiente información para comenzar nuestra notificación GDPR. Y fijamos como objetivo informar a nuestros usuarios. Y luego comenzamos a realizar auditorías y análisis forenses más pausados a primera hora del lunes”.
Pero esto en sí mismo no explica por qué compartieron la noticia sin decir que la brecha fue más grande. Por ello, Timehop levanta sus manos para explicarse en más detalle. “Nos equivocamos”, dicen. “En nuestro entusiasmo por divulgar todo lo que sabíamos, simplemente hicimos nuestro anuncio antes de saberlo todo”.
La compañía dice que cuando examinaron la auditoría más exhaustivamente el día lunes 16 de julio, quedó claro que había más información de la que habían divulgado originalmente. “Esta fue precisamente la razón por la que reiteramos repetidamente que la investigación continúa. Y que actualizaremos con más información tan pronto como esté disponible”.
A medida que sale más información, Timehop ha creado una tabla que detalla la información personal afectada por la violación. Una que puedes leer aquí. De momento, la investigación de seguridad de Timehop continúa.