V průběhu tohoto týdne oběhla internet zpráva o slabém zabezpečení Snapchatu, kdy společnost Gibson Security zveřejnila kompletní dokumentaci k privátnímu API této mezi teenagery stále populárnější mobilní aplikace.

Zároveň také našla několik exploitů, které údajně umožnují komukoliv zjistit, zda je vlastník libovolného telefonního čísla na Snapchatu zaregistrovaný a pokud ano, tak ho najít, jeho data následně stáhnout a to i v případě, kdy je jeho účet nastaven jako privátní.

Problém byl o to větší, že API Snapchatu nemělo stanoveno maximální počet dotazů a proto nebyl/není problém použít script, který by výsledky porovnával hromadně.

Snapchat tento problém v podstatě nepřímo potvrdil a na svém blogu nyní zveřejnil vyjádření…

Tento týden na Štědrý večer určitá skupina zveřejnila dokumentaci k našemu privátnímu API. Zpráva také zahrnovala nepodložené tvrzení, podle kterého je možné získat databázi uživatelských jmen a jejich telefonních čísel.

Naše funkce “Find Friends” umožnuje uživatelům nahrát jejich adresář do Snapchatu tak, že si mohou zobrazit, kdo z jejich kontaktů na Snapchatu je a kdo není. Přidání vašeho telefonního čísla do vašeho Snapchat účtu je zcela volitelné, ale velmi užitečné pokud chcete, aby vás vaši přátelé lehce našli. Nezobrazujeme telefonní čísla z vašeho adresáře ostatním uživatelům a nepodporujeme funkci, která by umožnila telefonní čísla a uživatelská jména mezi sebou spárovat.

Čistě teoreticky, kdyby byl někdo schopný hromadně uploadovat obrovské množství telefonních čísel, jako například každé telefonní číslo v USA, mohl by následně získat databázi s výsledky a telefonní čísla s uživatelskými jmény následně opravdu spárovat. Během tohoto roku jsme však implementovali velké množství protiopatření, který by tyto a další pokusy o zneužití měly velmi ztížit.

Zveřejněnou API dokumentaci si můžete prohlédnout zde.

foto: TechCrunch/Flickr