可以预见的是Snapchat用户数据库被恶意曝光

2020-03-10 15:37:00

2014年1月1日,一名匿名用户在一篇黑客新闻帖子中发布了SnapchatDB和460万个用户名以及匹配的电话号码。

Snapchat的账户——甚至包括那些标有“私人”字样的账户——是在一场数据库黑客攻击中被曝光的,而Snapchat在4个月前就知道了这件事,后来被忽视了,直到上周才告诉媒体,这些账户只是“理论上的”。

根据SnapchatDB的说法,这个漏洞是通过最近修补过的、但仍然有用的漏洞利用实现的。

去年12月的一个星期前,我们爆出了一则新闻:吉布森安全公司(Gibson security.com)的研究人员发布了Snapchat的代码,允许手机号码匹配。

吉布斯克强调了几起Snapchat的爆炸事件,他们被Snapchat傲慢地解雇了,但似乎还有其他人认真对待了吉布斯克。

SnapchatDB网站消失了,但在删除之前,该数据库被大量复制、转租和镜像(在Mega上)。

一些网站立即出现,为用户提供一个工具来查看他们是否在数据库泄露中。第一次和第二次泄密的信息来源是吉布森安全公司(Gibson Security)。

每个电话号码的最后两个数字都被隐藏起来了。但SnapchatDB表示,将向有兴趣的用户提供完整的用户名和用户名,这意味着460万个用户名和用户名可能会被卖给垃圾邮件和网络钓鱼操作。

将美国和加拿大主要城市的用户名与电话号码联系起来,是一场私人信息灾难,如果该公司在接到多次警告后采取行动,本来是可以避免的。

吉布森安全公司告诉ZDNet,解决这个威胁只需要Snapchat写十行代码。

通过公布用户名与电话号码的匹配,恶意实体现在可以跳转到暴力破解帐户密码,并交叉匹配来自其他数据库的数据,跨多个服务来编译配置文件,以跟踪、垃圾邮件等。

在欧盟,一个人的电话号码被归类为个人信息,并受到数据保护法律的保护。

Snapchat和其他公司一样,长期以来一直拒绝安全研究人员负责任的信息披露,但当用户成为特定目标攻击的受害者时,他们却感到尴尬,因为这些攻击的警告被忽视了。

去年10月,苹果公司对媒体表示,苹果可以通过iMessage中间人攻击(劫持并实时改变iphone之间的信息)来读取你的iMessage信息。

和Snapchat一样,苹果也对风险轻描淡写,并漫不经心地将负责任的信息披露贴上“理论性”的标签,试图抹黑负责任的安全研究人员。

苹果公司发言人特鲁迪·穆勒在给AllThingsD的一份声明中说:“iMessage的架构不允许苹果公司读取信息。这项研究讨论了理论上的漏洞,这些漏洞将要求苹果重新设计iMessage系统来利用它,而苹果没有这样做的计划或意图。”

就在苹果被解雇的同一天,我们发布了一段视频,视频中研究人员对iMessage在iphone之间的拦截和修改进行了现场演示,直接证明了苹果是错的。

Snapchat的故事骇人听闻,令人不安;8月,吉布森安全公司就其安全问题向Snapchat发出了警告,当Snapchat拒绝承认吉布斯克认为会让用户(比如他们自己)面临严重风险的问题时,吉布森安全公司公开了自己的说法。

Snapchat什么也没做。圣诞节那天,吉布森安全公司(Gibson Security)发布了Snapchat漏洞(只是吉布斯克发现的一些漏洞),试图促使Snapchat采取行动,认真对待用户安全和数据库安全。

吉布森表示,Snapchat对安全研究人员的忽视已经让它感到厌烦。

和苹果一样,Snapchat也没有回应ZDNet的置评请求——尽管我们首先发布了有关安全研究人员发现的新闻和技术信息。

事实上,Snapchat向吉布森安全公司承认,它最初是从我们发布前的电子邮件中了解到这些漏洞的。

这两家公司都只对那些有不加批判地报道两家公司记录的媒体机构做出了回应。

不幸的是,对于Snapchat来说,TechCrunch并不买账。

在用户安全问题上,这种行为代表了新公司和老公司不负责任的行为——与公司在公司安全问题上的行为明显不同。

1992年,一个名为L0pht Heavy Industries的早期黑客组织引用了微软的话:“这个漏洞完全是理论上的。”

这封邮件来自L0pht和微软之间的一封电子邮件,当时黑客负责任地披露,他们的软件发现了一个安全问题(第一个缓冲区溢出)。

这句话成了该组织的口号,“自1992年以来,让理论变得实用”。

如此庞大的用户名和号码数据库的公布,给吉布森安全公司发现的其他严重问题增加了分量。

吉布森安全公司(Gibson Security)披露称,Snapchat的一个大规模注册漏洞表明,没有办法核实Snapchat用户账户的有效性,Snapchat对此不予理睬,这让人对Snapchat的实际用户数量产生了质疑,而不是夸大了报告的内容。

Snapchat没有承认的另一个突出问题是,它被直接指控在用户性别问题上对投资者(尤其是高盛(Goldman Sachs))撒谎。

Snapchat目前在其网站上有5个以上的招聘信息,但没有一个包含安全职位。


郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。