Произошла утечка данных 4,6 млн пользователей мессенджера Snapchat

Информационная безопасностьМессенджеры


Телефонные номера и юзернеймы более 4,6 млн пользователей фотомессенджера Snapchat были выложены в открытый доступ, пишет The Verge. На специально запущенном сайте SnapchatDB (на момент публикации сайт уже не открывался) опубликованы два файла — SQL-дамп и CSV-текст — в которых указаны номера и юзернеймы, а также географическое месторасположение пользователей.

Авторы сайта скрыли две последние цифры номеров, чтобы «минимизировать спам и злоупотребления», но в то же время они говорят, что к ним можно обращаться за полной версией базы данных, которую они могут передать исследователям безопасности или юристам.

По словам представителей SnapchatDB, опубликованная информация покрывает подавляющее большинство пользователей Snapchat, но оценки пользовательской базы Snapchat (26 млн в США) дают основания говорить, что это не совсем так. Те, кто исследовал опубликованные данные, тоже сообщали, что база данных не полная. Пользователи Reddit пишут, что судя по телефонным кодам, все затронутые пользователи находятся в Северной Америке, причём в базе присутствуют только 76 из 322 кодов городов США и ещё два канадских.

Ещё в августе исследовательская группа Gibson Security обнаружила ошибку безопасности в функции «найти друзей по телефонным номерам» в приложении Snapchat. По словам издания Ars Technica, эту ошибку можно было исправить «несколькими строками кода». После того, как Snapchat не отреагировал, Gibson Security 24 декабря опубликовала Private API приложения и продемонстрировала, как кто-либо может проверить 10 тысяч телефонных номеров всего за семь минут.

В ответ Snapchat 27 декабря написал в своём блоге, что в теории, если бы кто-то загрузил огромный набор телефонных номеров — «например, каждый номер в пределах кода города или каждый возможный номер в США», то он мог бы соотнести имена пользователей и телефонные номера. Однако компания заявила, что она в течение года уже «внедрила ряд защитных мер, чтобы сделать это более трудным».

По словам команды SnapchatDB, они использовали модифицированную версию эксплойта Gibson Security:

Snapchat мог бы легко избежать этой утечки, ответив на письма Gibsonsec, но они этого не сделали. Даже после утечки Snapchat долгое время не принимал необходимые меры для обеспечения сохранности пользовательских данных. Как только мы начали собирать данные в больших масштабах, они решили внедрить незначительные препятствия, но их было далеко не достаточно. Даже сейчас уязвимость сохраняется и всё ещё возможно получить ещё больше данных.
Теги:Snapchatутечка данных
Хабы: Информационная безопасность Мессенджеры
+49
22k 15
Комментарии 8

Похожие публикации

Курс по аналитике данных
1 марта 202164 200 ₽SkillFactory
Python для анализа данных
3 марта 202124 900 ₽SkillFactory
Python для анализа данных
2 марта 202118 990 ₽Level UP
Аналитик данных
25 марта 202178 000 ₽Яндекс.Практикум
Комплексное обучение JavaScript
1 марта 202127 000 ₽Loftschool

Лучшие публикации за сутки