【更新】SnapChat 疑被黑,460 万用户名与手机号遭泄

公司

2014-01-01 16:23

阅后即焚应用 SnapChat 疑似被黑客破解,460 万名使用者的用户名和电话号码遭到泄露。

SnapchatDB.info 在不久前宣布,他们已经成功破解 SnapChat 的数据库,获得了大量 SnapChat 使用者的用户名和电话号码等信息。这些信息以 SQL 数据库文件和 CSV 文档的格式进行保存,任何人都可以在 SnapchatDB.info 首页上下载。

SnapChatDB

不过 SnapchatDB.info  表示,他们过滤了电话号码后两位以及用户名的部分后缀,以免当事人受到骚扰。但这并不意味就此安全,毕竟 SnapchatDB.info 还握着 460 万份未经处理的信息,这意味着它们依旧存在被泄露的可能。

The Next Web 检索了 SnapchatDB.info 的 Whois 信息,发现它创建于美国时间 12 月 31 日。网站注册者的姓名被系统保护,但联系地址和电话号码显示注册者位于巴拿马。

Whois

关于 SnapchatDB.info 盗取 SnapChat 460 万用户名和手机号码的声明是否真实,目前仍未可知。因为直到现在,SnapChat 官方还没有做出任何反应。

但已经有人在 Hacker News 上反映,称 SnapchatDB.info 提供的信息文件无法下载。我也试着下载了这两份文件,同样无法获取。不知道是因为 SnapchatDB.info 的访问量过大造成文件无法下载,还是因为文件本身就不完整。目前同样不清楚究竟有多少人下载了这两份文件。

今年 12 月,加拿大安全机构  Gibson Security 曾发布一份报告,称 SnapChat 的服务器存在两个明显的安全漏洞,黑客很容易通过这两个漏洞盗取用户的个人资料,包括使用者的姓名、昵称以及电话号码。

Gibson Security 还表示 SnapChat 其实在四个月前就已经知道这些漏洞,而修复它们 “只需要 10 行代码”。

但 SnapChat 的反应依旧怠慢。在 12 月 27 日的博客中,SnapChat 回应道,应用的查找好友功能允许用户将通讯录上传到 SnapChat 服务器,然后根据电话号码检查好友是否同样使用 SnapChat。但应用的电话号码添加项是可选的,并且 “我们不会向他人显示你的电话号码,也不支持通过姓名来检阅用户的电话号码。”

但是——

“理论上,如果有人上传了大量的电话号码,他们可以据此创建一个电话号码数据库,然后再通过号码数据库来匹配用户名。”“过去一年,我们施行了多项保障措施,(黑客们)通过这种手段来盗取用户信息将更加困难。”

听起来不错,只是眼下的情况很讽刺。事实上,TechCrunch 在 SnapChat 回应 Gibson Security 后就曾表示,这份声明相当含糊其辞——SnapChat 并没有指明他们的对抗策略具体是什么,是通过访问限制还是屏蔽恶意 IP 地址来实现对用户的保护。

不过 SnapChat 的愚蠢并不能表示 SnapchatDB.info 的做法就是正确的,尽管他们始终强调这只是对 SnapChat 的警告。然而需要明确的是,通过泄露用户信息来提醒站方的激进做法本身就非常欠妥,很多时候正义与邪恶只有一步之遥。

snapchat-sample-data

(SnapChatDB.info 获取的部分 SnapChat 用户信息,图片来自 VentureBeat

【更新】The Next Web 收到了 SnapchatDB 站长的回应,对方称 SnapChat 对 Gibson Security 的回应明显不够。SnapChatDB.info 现在由一群安全专家运行,他们没有恶意。

“SnapChat 对 Gibson Security 的回应明显不够。私下交流时,SnapChat 也对建议置之不理,甚至不愿修复等级限制。虽然 Gibson Security 披露的方法不再管用,但是小幅修改后仍然可行。数百万人信任 SnapChat,将他们的私人数据托付给它。如果 SnapChat 对修复等级限制这样的简单事情漠不关心,那么我们认为用户们有权利看清楚他们是有多么的粗心怠慢。”

 

题图来自 Mashable

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中

阅读、思考、自我反省,相信坚持可以改变人生。

本篇来自栏目

解锁订阅模式,获得更多专属优质内容