Hacker di Anonymous affermano di aver utilizzato l'exploit delle API Android di Snapchat per compilare un database di 4,6 milioni di nomi utente di Snapchat, i numeri di telefono e le regioni geografiche associate. La scorsa settimana un altro gruppo di hacker aveva avvertito Snapchat delle vulnerabilità di sicurezza che avrebbero potuto portare a questo tipo di compromissione dei dati. A causa della violazione, Snapchat ha annunciato una nuova versione della sua app che permette agli utenti opt-out di trovare i loro amici.
Il sito, SnapchatDB.info, offre informazioni come dump del database SQL (40MB) o come file CSV. Le istruzioni sulle pagine dicono: "Stai scaricando i numero di telefono 4,6 milioni di utenti, con i loro nomi. Le persone tendono ad usare lo stesso nome utente in giro per il web in modo da poter utilizzare queste informazioni per trovare le informazioni il numero di telefono associati all'account Facebook e Twitter, o semplicemente per capire i numeri di telefono delle persone con cui si desidera entrare in contatto".
E' chiaro che gli hacker stanno cercando di spingere Snapchat a riconoscere la gravità dei loro buchi di sicurezza e realizzare le patch necessarie. Essi sostengono che il database "contiene nome utente e numero di telefono di una grande maggioranza degli utenti Snapchat". Al fine di non rendere le informazioni troppo utili ai black hat hacker, le ultime due cifre del numero di telefono sono state offuscate "al fine di minimizzare lo spam e abusi". Gli hacker, tuttavia, precisano che essi possono rilasciare in futuro il database senza alcuna censura.
"In determinate circostanze, possiamo accettare di rilasciarlo", scrivono. Hanno usato le falle di sicurezza documentate da Gibson Security che Snapchat ha "respinto". SnapchatDB sostiene che questa informazione "è condivisa con il pubblico per sensibilizzare sul tema. La società è stata troppo riluttante a rattoppare l'exploit fino a quando non hanno saputo che era ormai troppo tardi e le aziende a cui affidiamo le nostre informazioni dovrebbero essere più attenti quando si tratta di ciò".
Dopo il rilascio di GibsonSec, Snapchat si è avvicinata con una dichiarazione ammettendo che "in teoria, se qualcuno fosse in grado di caricare un enorme insieme di numeri di telefono, come ogni numero in un codice di zona, oppure ogni numero negli Stati Uniti, si potrebbe creare un database dei risultati e nomi utente che corrispondono ai numeri di telefono". Tuttavia, gli sviluppatori hanno detto di aver "attuato varie misure di sicurezza" e "recentemente aggiunto ulteriori contromisure per combattere spam e abusi".
Per verificare se si è nel database, GibsonSec fornisce un pratico correttore. Secondo Decipher Forensics, Snapchat non cancella le foto ricevute, ma piuttosto li nasconde alla vista modificando l'estensione e rendendole illeggibili. Le immagini possono quindi essere estratte dai dispositivi e consegnati a genitori, avvocati e forze dell'ordine molto tempo dopo che sono state viste. Snapchat è particolarmente popolare tra gli adolescenti, ed è stata ampiamente segnalata per essere usato per "sexting" o scambio di immagini esplicite con un certo grado di nudità.
Nessun commento:
Posta un commento