Snapchat vuelve a ser noticia, y esta vez, como ya ha ocurrido en otras ocasiones, no por algo bueno sino debido a que alguien ha filtrado en Internet información de más de cuatro millones de usuarios de esta popular aplicación de mensajería a través del sitio web SnapchatDB.
En concreto una o varias personas lograron recopilar los nombres de usuario y números de teléfono de 4,6 millones de cuentas de Snapchat correspondientes a usuarios de EE UU y Canadá, los cuales, al final, quienes perpetraron el ataque decidieron publicar en la web SnapchatDB que lleva fuera de juego desde hace unas horas (poco ha importado porque ya hay copias de la información sustraída circulando por otros lugares de la red).
La pregunta obvia que muchos os estaréis haciendo ante una filtración de esta magnitud es qué la ha motivado. Pues esta vez parece que los atacantes no perseguían el rédito económico, que suele ser la motivación de la mayoría de los grandes robos de información. En vez de eso buscaban dar un toque de atención a los usuarios de Snapchat y a la propia compañía sobre la falta de seguridad de la aplicación porque, según declaraciones de SnapchatDB, aunque es comprensible que las nuevas startups cuenten con recursos limitados la seguridad y privacidad no deben ser un objetivo secundario.
Respecto a cómo fue extraída la información, y aquí llega lo verdaderamente sangrante del asunto, el o los autores de la filtración han explicado que lo hicieron nutriéndose del exploit en la API de iOS y Android del servicio que la firma de seguridad Gibson publicó en Internet el día de Nochebuena debido a que cuando lo reportaron a los de Snapchat hace meses estos pasaron del asunto.
En palabras de SnapchatDB:
“Se utilizó una versión modificada del exploit/método de Gibsonsec’s. Snapchat podría haber evitado fácilmente su divulgación respondiendo a las comunicaciones privadas de Gibsonsec’s, pero no lo hicieron. Incluso mucho tiempo después de que lo divulgaran, Snapchat continuó reacio a tomar las medidas necesarias para proteger los datos del usuario. Una vez que empezamos la extracción a gran escala, decidieron implementar obstáculos muy poco eficaces, que todavía estaban lejos de ser suficientes. Incluso ahora el exploit persiste. Todavía es posible extraer datos a gran escala. Sus últimos cambios no son difíciles de sortear”.
Por fortuna en los archivos publicados que contienen la información filtrada los dos últimos dígitos de los números de teléfono han sido eliminados para, nuevamente según declaraciones de SnapchatDB, “minimizar el spam y el abuso”. O sea, que nadie va a poder utilizarlos con fines espurios (por ejemplo hacer spam telefónico).
De momento Snapchat no ha dicho ni mu en relación al asunto. Esperemos, por su bien, que lo hagan ya que estamos ante un caso serio de falta de seguridad que afecta de lleno a la imagen pública del servicio y que de seguro también ha minado la confianza de los usuarios para con él.
from TICbeat http://feedproxy.google.com/~r/rwwes/~3/UyLQQfrckxg/story01.htm
