Snapchat, la breccia dopo l'exploit

Il chiacchierato servizio di messaggistica fotografica colpito dalla diffusione di milioni di numeri telefonici "rubati". Un exploit esistente da giorni, la cui efficacia era stata messa in dubbio dalla piattaforma
Il chiacchierato servizio di messaggistica fotografica colpito dalla diffusione di milioni di numeri telefonici "rubati". Un exploit esistente da giorni, la cui efficacia era stata messa in dubbio dalla piattaforma

Il 2014 si apre con la “fuga” non autorizzata delle informazioni sensibili di 4,6 milioni di utenti Snapchat, un mare di informazioni completo di account e numeri telefonici pubblicato (in forma parzialmente censurata) sul sito SnapchatDB. Il sito è ora inaccessibile ma le polemiche non accennano a placarsi.

E di materiale ad alimentare le polemiche ce n’è a sufficienza, visto che la breccia nei server del discusso servizi di photo messaging – un servizio che, sulla carta , distrugge i contenuti condivisi – ha origine da una vulnerabilità resa nota già dallo scorso Natale.

La vulnerabilità è figlia di codice non documentato presente all’interno delle API Snapchat, e permette di accumulare una gran quantità di numeri telefonici associandoli ai relativi account; una seconda vulnerabilità dà la possibilità di creare un gran numero di account fasulli sul servizio.

Snapchat aveva liquidato le preoccupazioni degli ultimi giorni con una certa sufficienza, e questo nonostante la disponibilità “in the wild” di exploit funzionanti . La nascita di SnapchatDB ha reso ancora più evidenti le mancanze sul fronte della sicurezza di un servizio che si presenta come rispettoso della riservatezza degli utenti.

Gli autori della disclosure forzata hanno poi spiegato le loro motivazioni parlando della necessità di far crescere la consapevolezza del problema presso il pubblico, un pubblico che continua a essere a rischio visto che gli exploit (opportunamente modificati) continuano a essere efficaci. Online è disponibile un tool con cui gli utenti di Snapchat possono verificare se il loro account è stato compromesso.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

03 01 2014
Link copiato negli appunti