El 1 de enero de 2014, un usuario anónimo anunció el lanzamiento de SnapchatDB y 4,6 millones de nombres de usuario y números de teléfono coincidentes en una publicación de Hacker News.
Las cuentas de Snapchat, incluso aquellas marcadas como “privadas”, quedaron expuestas en un hackeo de base de datos que Snapchat conoció durante cuatro meses, ignoró y luego dijo a la prensa la semana pasada que era sólo “teórico”.
Según SnapchatDB, la filtración fue posible gracias a un exploit recientemente parcheado, pero aún útil.
Hackear la base de datos no fue suficiente para merecer una respuesta
Hace una semana de diciembre, dimos la noticia de que Investigadores de Gibson Security publicaron un código de Snapchat que permite comparar números de teléfono después de que se ignoraran las revelaciones de exploits.
GibSec destacó varios exploits de Snapchat y Snapchat los descartó con arrogancia, pero parece que alguien más se ha tomado a GibSec en serio.
El sitio web SnapchatDB desapareció, pero la base de datos fue copiada, descargada mediante torrents y duplicada (en Mega) ampliamente antes de su eliminación.
Inmediatamente surgieron varios sitios web que ofrecen una herramienta para que los usuarios vean si están en la filtración de la base de datos. La fuente de la primera y segunda revelaciones, Gibson Security, creó esta herramienta de búsqueda de hacks de Snapchat.
Los dos últimos dígitos de cada número de teléfono en el volcado de pirateo estaban ocultos. Pero SnapchatDB dijo que las cifras completas se revelarían a las partes interesadas, lo que indica que los 4,6 millones de nombres de usuario y números probablemente se venderán a operaciones de spam y phishing.
La vinculación de números de teléfono con nombres de usuario en cuentas de las principales ciudades de Estados Unidos y Canadá es un desastre de información privada que podría haberse evitado si la empresa hubiera actuado cuando se le advirtió repetidamente.
Gibson Security le dijo a que solucionar la amenaza solo le habría costado a Snapchat diez líneas de código.
Con la publicación de coincidencias de nombres de usuarios con números de teléfono, las entidades maliciosas ahora pueden pasar a la fuerza bruta de contraseñas de cuentas y comparar datos de otras bases de datos para compilar perfiles en múltiples servicios para acechar, enviar spam y más.
En la UE, el número de teléfono de una persona se clasifica como información personal y está sujeto a las leyes de protección de datos.
La divulgación responsable está muerta
Snapchat se une a un largo legado de empresas que niegan la divulgación responsable por parte de investigadores de seguridad, sólo para sentirse avergonzados cuando los usuarios se convierten en víctimas de ataques dirigidos exactamente cuyas advertencias fueron ignoradas.
En octubre, Apple dijo a la prensa que Apple puede leer tus iMessages con un ataque de intermediario de iMessage (secuestro y cambio de mensajes entre iPhones en tiempo real).
Al igual que Snapchat, Apple minimizó los riesgos e intentó desacreditar a los investigadores de seguridad responsables al etiquetar arrogantemente las divulgaciones responsables como “teóricas”.
En una declaración a AllThingsD, la portavoz de Apple, Trudy Muller, dijo: “iMessage no está diseñado para permitir que Apple lea mensajes. La investigación discutió vulnerabilidades teóricas que requerirían que Apple rediseñara el sistema iMessage para explotarlo, y Apple no tiene planes ni intenciones de hacerlo.”
El mismo día del despido de Apple, publicamos un vídeo de los investigadores dándonos una demostración en vivo de la interceptación y alteración de iMessage entre iPhones, demostrando directamente que Apple estaba equivocado.
La historia de Snapchat es inquietantemente atroz; Gibson Security advirtió a Snapchat en agosto sobre sus problemas de seguridad y hizo públicas sus afirmaciones cuando Snapchat se negó a reconocer lo que GibSec consideró que eran problemas que ponían a los usuarios, como ellos mismos, en grave riesgo.
Snapchat no hizo nada. El día de Navidad, Gibson Security publicó exploits de Snapchat (sólo algunos de los que encontró GibSec) en un intento de impulsar a Snapchat a tomar medidas para tomar en serio la seguridad del usuario y la seguridad de la base de datos.
Gibson dijo que estaba harto de que Snapchat ignorara a los investigadores de seguridad.
“Esa vulnerabilidad es completamente teórica”. -Microsoft
Al igual que Apple, Snapchat no respondió a la solicitud de comentarios de , a pesar de que primero dimos noticias y publicamos información técnica sobre los descubrimientos de los investigadores de seguridad.
De hecho, Snapchat admitió ante Gibson Security que se enteró por primera vez de los exploits a través de nuestro correo electrónico previo a la publicación solicitando comentarios sobre las divulgaciones de GibSec.
Ambas empresas sólo respondieron a medios de prensa que tienen un historial de informar de forma acrítica sobre las empresas.
Desafortunadamente para Snapchat, TechCrunch no se lo creyó.
Este comportamiento tipifica el comportamiento irresponsable de empresas tanto nuevas como establecidas cuando se trata de cuestiones de seguridad de los usuarios, notablemente diferente del comportamiento de las empresas respecto de cuestiones de seguridad corporativas.
En 1992, uno de los primeros grupos de hackers conocido como L0pht Heavy Industries publicó una cita de Microsoft: “Esa vulnerabilidad es totalmente teórica”.
Fue a partir de un intercambio de correo electrónico entre L0pht y Microsoft, cuando los piratas informáticos revelaron responsablemente el descubrimiento de un problema de seguridad (uno de los primeros desbordamientos de búfer) en su software.
La cita se convirtió en el lema del grupo: “Hacer lo teórico práctico desde 1992”.
La publicación de una base de datos tan masiva de nombres y números de usuarios da peso a los otros problemas graves que Gibson Security ha descubierto.
Snapchat ha ignorado la revelación de Gibson Security de que un exploit de registro masivo muestra que no hay forma de verificar la validez de las cuentas de usuario de Snapchat, lo que genera dudas sobre el número real de usuarios de Snapchat, frente a informes inflados.
Otro tema evidente que Snapchat no ha reconocido es la acusación directa de que Snapchat había mentido a sus inversores, en particular a Goldman Sachs, sobre el género de los usuarios.
Snapchat tiene actualmente más de cinco ofertas de trabajo abiertas en su sitio web, ninguna de las cuales incluye puestos de seguridad.
contactó a Snapchat antes de la publicación de este artículo, pero la posibilidad de una respuesta de Snapchat es completamente teórica.