Alfonso Maruccia

Snapchat, la breccia dopo l'exploit

Il chiacchierato servizio di messaggistica fotografica colpito dalla diffusione di milioni di numeri telefonici "rubati". Un exploit esistente da giorni, la cui efficacia era stata messa in dubbio dalla piattaforma

Roma - Il 2014 si apre con la "fuga" non autorizzata delle informazioni sensibili di 4,6 milioni di utenti Snapchat, un mare di informazioni completo di account e numeri telefonici pubblicato (in forma parzialmente censurata) sul sito SnapchatDB. Il sito è ora inaccessibile ma le polemiche non accennano a placarsi.

E di materiale ad alimentare le polemiche ce n'è a sufficienza, visto che la breccia nei server del discusso servizi di photo messaging - un servizio che, sulla carta, distrugge i contenuti condivisi - ha origine da una vulnerabilità resa nota già dallo scorso Natale.

La vulnerabilità è figlia di codice non documentato presente all'interno delle API Snapchat, e permette di accumulare una gran quantità di numeri telefonici associandoli ai relativi account; una seconda vulnerabilità dà la possibilità di creare un gran numero di account fasulli sul servizio.
Snapchat aveva liquidato le preoccupazioni degli ultimi giorni con una certa sufficienza, e questo nonostante la disponibilità "in the wild" di exploit funzionanti. La nascita di SnapchatDB ha reso ancora più evidenti le mancanze sul fronte della sicurezza di un servizio che si presenta come rispettoso della riservatezza degli utenti.

Gli autori della disclosure forzata hanno poi spiegato le loro motivazioni parlando della necessità di far crescere la consapevolezza del problema presso il pubblico, un pubblico che continua a essere a rischio visto che gli exploit (opportunamente modificati) continuano a essere efficaci. Online è disponibile un tool con cui gli utenti di Snapchat possono verificare se il loro account è stato compromesso.

Alfonso Maruccia
Notizie collegate
3 Commenti alla Notizia Snapchat, la breccia dopo l'exploit
Ordina
  • ... mi immagino gli/le utonti/e che ovviamente non sanno nulla di queste vulnerabilità e che continueranno serenamente a mandarsi foto compromettenti perché tanto "vengono cancellate subito e nessuno ne può fare una copia nel mezzo". Sì certo, come no...
    L'idea che mi sono fatto sul famoso rifiuto da 3 miliardi è che nella proposta di acquisto ci fossero delle clausole (probabilmente relative anche alla sicurezza, e con penali colossali) che il fondatore sapeva che sarebbero state infrante ed ha quindi temporeggiato in attesa di un'offerta "migliore".
  • - Scritto da: pentolino
    > ... mi immagino gli/le utonti/e che ovviamente
    > non sanno nulla di queste vulnerabilità e che
    > continueranno serenamente a mandarsi foto
    > compromettenti perché tanto "vengono cancellate
    > subito e nessuno ne può fare una copia nel
    > mezzo". Sì certo, come
    > no...

    Se uno manda foto compromettenti in rete... Deluso   altro che utonto. Udeficiente!
    non+autenticato
  • - Scritto da: pentolino
    > ... mi immagino gli/le utonti/e che ovviamente
    > non sanno nulla di queste vulnerabilità e che
    > continueranno serenamente a mandarsi foto
    > compromettenti perché tanto "vengono cancellate
    > subito e nessuno ne può fare una copia nel
    > mezzo". Sì certo, come
    > no...
    ehhhhhh... non vorrei dire, ma IN QUESTO CASO dubito si debbano preoccupare per le foto compromettenti......
    cioè... i tizi di snapchat sono dei somari (cfr. vedere il sito di gibson) ma qui il megaleak di 4.6milioni NON è un dumping del dbase degli utenti (ossia con credenziali e altro)... ma SOLO del matching n.tel<->username ... questo perché i tizi hanno fatto un massivo probing, abusando di una funzione di snapchat, e hanno quindi creato quel dbase.

    Ho trovato questa cosa analoga a quella del tizio che ha osato "abusare" dell' at&t per gli iPad (probing ICCID -> ritorna l'email)... e gli hanno dato megaGalera... capiterà anche qui, che non c'e' di mezzo apple & at&t ?Con la lingua fuori
    ( http://apple.slashdot.org/story/10/06/10/0021228/a... )
    non+autenticato