Телефонные номера и юзернеймы более 4,6 млн пользователей фотомессенджера Snapchat были выложены в открытый доступ, пишет The Verge. На специально запущенном сайте SnapchatDB (на момент публикации сайт уже не открывался) опубликованы два файла — SQL-дамп и CSV-текст — в которых указаны номера и юзернеймы, а также географическое месторасположение пользователей.
Авторы сайта скрыли две последние цифры номеров, чтобы «минимизировать спам и злоупотребления», но в то же время они говорят, что к ним можно обращаться за полной версией базы данных, которую они могут передать исследователям безопасности или юристам.
По словам представителей SnapchatDB, опубликованная информация покрывает подавляющее большинство пользователей Snapchat, но оценки пользовательской базы Snapchat (26 млн в США) дают основания говорить, что это не совсем так. Те, кто исследовал опубликованные данные, тоже сообщали, что база данных не полная. Пользователи Reddit пишут, что судя по телефонным кодам, все затронутые пользователи находятся в Северной Америке, причём в базе присутствуют только 76 из 322 кодов городов США и ещё два канадских.
Ещё в августе исследовательская группа Gibson Security обнаружила ошибку безопасности в функции «найти друзей по телефонным номерам» в приложении Snapchat. По словам издания Ars Technica, эту ошибку можно было исправить «несколькими строками кода». После того, как Snapchat не отреагировал, Gibson Security 24 декабря опубликовала Private API приложения и продемонстрировала, как кто-либо может проверить 10 тысяч телефонных номеров всего за семь минут.
В ответ Snapchat 27 декабря написал в своём блоге, что в теории, если бы кто-то загрузил огромный набор телефонных номеров — «например, каждый номер в пределах кода города или каждый возможный номер в США», то он мог бы соотнести имена пользователей и телефонные номера. Однако компания заявила, что она в течение года уже «внедрила ряд защитных мер, чтобы сделать это более трудным».
По словам команды SnapchatDB, они использовали модифицированную версию эксплойта Gibson Security:
Snapchat мог бы легко избежать этой утечки, ответив на письма Gibsonsec, но они этого не сделали. Даже после утечки Snapchat долгое время не принимал необходимые меры для обеспечения сохранности пользовательских данных. Как только мы начали собирать данные в больших масштабах, они решили внедрить незначительные препятствия, но их было далеко не достаточно. Даже сейчас уязвимость сохраняется и всё ещё возможно получить ещё больше данных.