De veelgebruikte app Buffer dat het gebruikers de mogelijkheid geeft berichten ‘klaar te zetten’ voor onder meer Twitter, Facebook en LinkedIn, is afgelopen zaterdag gehackt. Vlak daarop brak er een spamgolf uit op diverse sociale media waarbij de gehackte accounts ongewild berichten postten. Buffer haalde direct na de ontdekking de app offline en zei na een paar uur de zaak weer onder controle te hebben.

Joel Gascoigne, de oprichter van Buffer, heeft direct op zijn webpagina’s de gebruikers gewaarschuwd en heeft gedurende het weekeinde iedereen op de hoogte gehouden van updates.

'Geen creditcardinfo gestolen'

Volgens het bedrijf zijn er geen wachtwoorden gestolen of creditcardinformatie buitgemaakt. Gebruikers van buffer moesten wel opnieuw hun Twitteraccounts verbinden met de Buffer-app. Buffer wordt veel gebruikt in het midden- en kleinbedrijf om (commerciële) berichten op de time-line te zetten voor postings op sociale media.

Buffer heeft zijn platform op Amazon Web Services (AWS) en samen met Amazon heeft Buffer een onderzoek ingesteld. Het bleek dat 30.000 gebruikers van Facebook die de Buffer-app gebruiken, spam hebben verspreid, van de 476.000 via Buffer verbonden pagina’s.

Voortaan OAuth gebruiken

Buffer zegt direct meer veiligheidsmaatregelen te hebben genomen. Zo wordt voortaan OAuth gebruikt als versleuteld authenticatieprotocol en verder zijn de API-aanroepingen veranderd. Daarnaast zouden er nog meer maatregelen zijn genomen, maar daar heeft het bedrijf verder nog geen nadere uitleg bij gegeven.

Binnenkort wil Buffer komen met een uitgebreid verslag over de hack, de manier waarop de aanval heeft plaats gevonden en wat er nu precies is gehackt.