Произошла утечка данных 4,6 млн пользователей мессенджера Snapchat

Information SecurityInstant Messaging


Телефонные номера и юзернеймы более 4,6 млн пользователей фотомессенджера Snapchat были выложены в открытый доступ, пишет The Verge. На специально запущенном сайте SnapchatDB (на момент публикации сайт уже не открывался) опубликованы два файла — SQL-дамп и CSV-текст — в которых указаны номера и юзернеймы, а также географическое месторасположение пользователей.

Авторы сайта скрыли две последние цифры номеров, чтобы «минимизировать спам и злоупотребления», но в то же время они говорят, что к ним можно обращаться за полной версией базы данных, которую они могут передать исследователям безопасности или юристам.

По словам представителей SnapchatDB, опубликованная информация покрывает подавляющее большинство пользователей Snapchat, но оценки пользовательской базы Snapchat (26 млн в США) дают основания говорить, что это не совсем так. Те, кто исследовал опубликованные данные, тоже сообщали, что база данных не полная. Пользователи Reddit пишут, что судя по телефонным кодам, все затронутые пользователи находятся в Северной Америке, причём в базе присутствуют только 76 из 322 кодов городов США и ещё два канадских.

Ещё в августе исследовательская группа Gibson Security обнаружила ошибку безопасности в функции «найти друзей по телефонным номерам» в приложении Snapchat. По словам издания Ars Technica, эту ошибку можно было исправить «несколькими строками кода». После того, как Snapchat не отреагировал, Gibson Security 24 декабря опубликовала Private API приложения и продемонстрировала, как кто-либо может проверить 10 тысяч телефонных номеров всего за семь минут.

В ответ Snapchat 27 декабря написал в своём блоге, что в теории, если бы кто-то загрузил огромный набор телефонных номеров — «например, каждый номер в пределах кода города или каждый возможный номер в США», то он мог бы соотнести имена пользователей и телефонные номера. Однако компания заявила, что она в течение года уже «внедрила ряд защитных мер, чтобы сделать это более трудным».

По словам команды SnapchatDB, они использовали модифицированную версию эксплойта Gibson Security:

Snapchat мог бы легко избежать этой утечки, ответив на письма Gibsonsec, но они этого не сделали. Даже после утечки Snapchat долгое время не принимал необходимые меры для обеспечения сохранности пользовательских данных. Как только мы начали собирать данные в больших масштабах, они решили внедрить незначительные препятствия, но их было далеко не достаточно. Даже сейчас уязвимость сохраняется и всё ещё возможно получить ещё больше данных.
Tags:Snapchatутечка данных
Hubs: Information Security Instant Messaging
+49
22k 15
Comments 8

Popular right now

Администратор баз данных
from 45,000 to 120,000 ₽AMICUMКемерово
DBA / Администратор базы данных
from 80,000 ₽CarPriceМоскваRemote job
Администратор баз данных SQL
from 100,000 ₽Сима-лендЕкатеринбург
DBA / Администратор баз данных
from 100,000 ₽СтандартПроектМосква
Аналитик данных (data analyst)
from 160,000 ₽СберЛогистикаМосква

Top of the last 24 hours