Vdor v Snapchat zaradi malomarnosti odtujil 4,6 milijona telefonskih številk
Matej Huš
2. jan 2014 ob 05:27:43
Vdor v Snapchat ni bil potegavščina, kot se je sprva špekuliralo, ampak je šlo za res. Neznani napadalci so pridobili uporabniška imena in telefonske številke 4,6 milijona uporabnikov Snapchata in jih (z zakritima zadnjima števkama) objavili na spletni strani SnapchatDB.info. Ali sta neka uporabniško ime in številka javno objavljena, je mogoče preveriti na strani Gibson Security, ki z vdorom ni povezana.
Snapchat je priljubljena aplikacija za pametne telefone, ki omogoča pošiljanje sporočil in slik, ki po 1-10 sekundah izpuhtijo s prejemnikovega telefona in Snapchatovih strežnikov. A aplikacija ni brez varnostnih lukenj. Raziskovalci iz Gibson Securityja so Snapchat več mesecev opozarjali, da ima njihova aplikacija ranljivosti, a se ni zgodilo nič. Ker ni preostalo drugega, so na božični večer podrobno razkrili ranljivost. S temi informacijami je mogoče prečesati celo bazo in s poizvedbami dobiti natančno ujemanje, katera telefonska številka pripada kateremu uporabniškemu imenu.
Gibson Security dodajajo, da bi Snapchat lahko kodo popravil v teh štirih mesecih, ko so jih opozarjali, saj gre za deset vrstic kode. Morda malce karikirano, a to ranljivost je enostavno odpraviti. Hkrati so jih še okrcali, da investitorjem in uporabnikom lažejo, ko trdijo, da je 70-odstotkov uporabnikov storitve žensk, saj tega ni mogoče ugotoviti. Ker so se pri Snapchatu vedli oholo in zahtevali umik odprtokodnih odjemalcev za storitev, so pri Gibson Security imeli vsega dovolj in objavili vse, kar vedo.
Snapchat se je dva dni pozneje odzval in pomiril uporabnike. Zatrdili so, da čeprav je teoretično mogoče pridobiti telefonske številke uporabnikov, to ni razlog za skrb, ker so vgradili dodatne zaščite. Te so bile blažev žegen, saj je kmalu vzniknila stran SnapchatDb.info z vsemi podatki. Podatke so neznani napadalci posredovali tudi Gibson Security, ki ima na svoji strani obrazec za preveritev uporabniškega imena.
Kdo stoji za vdorom, ni znano. Domena snapchat.info je bila prikladno registrirana na silvestrovo, podatki o lastniku pa niso javni. Objavljeni podatki vodijo nekam v Panamo. Napadalci so zapisal, da so uporabili prirejeno metodo Gibson Securityja, a da je bila njihova nakana le pokazati na ranljivosti, zato so zadnji števki zakrili.