Ayer mismo os contábamos que la popular aplicación de mensajería Snapchat había sido objeto de un ataque informático el cual se saldó con la filtración de los números de teléfono y nombres de usuario correspondientes a 4,6 millones de cuentas del servicio. Tras el acontecimiento todo el mundo esperaba la reacción de la compañía, que al final ha llegado en las últimas horas en forma de un escueto post publicado en su blog oficial.
En él la gente de Snapchat arranca explicando lo que ya sabíamos: que cuentan con la opción Encuentra Amigos que permite a los nuevos usuarios de la aplicación ingresar sus números de teléfono para que los amigos que ya la utilizan les puedan encontrar; que en agosto de 2013 un grupo de seguridad publicó por primera vez un informe sobre los peligros potenciales de esa opción, ante lo que tomaron medidas de seguridad; y que finalmente en la víspera de Navidad ese mismo grupo lanzó un xploit detectado en la API de iOS y Android de Snapchat que facilitaba abusar de la funcionalidad Encuentra Amigos, con lo que, en sus palabras, “fue más fácil que las personas abusaran de nuestro servicio y violaran sus términos de uso”.
Tras eso, continúan comentando que el viernes pasado reconocieron en una entrada de su blog la posibilidad de que un atacante utilizara la funcionalidad Encuentra Amigos para cargar una gran cantidad de números de teléfono al azar y relacionarlos con los nombres de usuario de Snapchat, y que en vísperas de Año Nuevo un atacante lanzó una base de datos de números de teléfono y nombres de usuario usando justamente la técnica/xploit desvelado por el grupo de seguridad y reconocido por ellos.
Por último cierran desgranando las medidas que van o han tomado ya ante la filtración masiva de información. En concreto dicen que liberarán una versión actualizada de la aplicación Snapchat que permitirá a los snapchatters optar por no aparecer en Encuentra Amigos después de haber verificado su número de teléfono. También que están activando restricciones varias para hacer frente a futuros intentos de abuso y que han habilitado la cuenta de correo security@snapchat.com porque quieren asegurarse de que los expertos en seguridad pueden ponerse en contacto con ellos cuando descubren nuevas formas de abusar del servicio y así poder hacer frente a esas preocupaciones.
Un buen ejemplo de mala gestión
¿Dónde están las disculpas a los usuarios que fueron víctimas del ataque? Pues simplemente no las hay, lo que a ojos de muchos es otro error garrafal que se suma al resto de los cometidos por Snapchat en la gestión de la crisis que nos ocupa.
El primero de ellos se produjo en agosto cuando el grupo de seguridad le reportó de manera privada el xploit y optaron por ignorarlo. El segundo llegó en diciembre, mes en el que el grupo decidió publicar el xploit ante el silencio de Snapchat y ellos respondieron comunicando que habían tomado nuevas medidas pero al mismo tiempo reconocían que seguía siendo posible que un tercero creara una base de datos de números de teléfonos de usuarios. El tercero lo descubrimos con la filtración de la información, porque la misma demostraba que las medidas de seguridad implementadas fueron manifiestamente insuficientes. Y el cuarto ha sido el post-reacción que hemos visto ya que en él no asumen responsabilidad alguna e intentan echar balones fuera cuando la realidad es que ellos son los principales responsables de que se produjera la filtración.
Esperemos que hayan aprendido y para la próxima vez que se vean envueltos en un caso de falta de seguridad sigan otro guión. Por ejemplo escuchar de verdad a la comunidad de seguridad, trabajar mano a mano con ella y reconocer los errores.
from TICbeat http://feedproxy.google.com/~r/rwwes/~3/ZfbnAkUFiPw/story01.htm
