La société déclare que cette affaire remonte au 19 décembre 2017. Utilisant des identifiants valides, une personne non autorisée se connecte sur l'interface de son fournisseur de « Cloud Computing ». Elle crée un compte administrateur et en profite pour effectuer quelques opérations de reconnaissance dans l'environnement de travail.

À l'époque, aucune information personnelle des utilisateurs n'était présente, le pirate est donc reparti bredouille. En avril, un employé de TimeHop y transfère une base de données contenant des informations personnelles de clients et celle-ci est détectée par le pirate lorsqu'il revient en juin. Le 4 juillet, il dérobe les informations.

Le pirate est ainsi reparti avec les nom, prénom, date de naissance, genre, code pays, numéro de téléphone et email de près de 21 millions de clients de TimeHop. Aucune information bancaire, photo ou message n'est concerné affirme l'éditeur.

Plus embêtant, des jetons d'accès aux comptes des réseaux sociaux des utilisateurs étaient également présents (afin de récupérer vos images pour les utiliser dans TimeHop). Ils ont rapidement été révoqués, mais peuvent avoir théoriquement permis un accès au pirate pendant un court laps de temps. Aucune preuve n'indique que cela soit arrivé, assure la société.

Elle propose un tableau détaillé des fuites et du nombre de clients concernés à chaque fois. Une colonne est dédiée à ceux se trouvant dans une zone couverte par le RGPD.