Snapchat oficiálně odpovídá na údajný hack
V průběhu tohoto týdne oběhla internet zpráva o slabém zabezpečení Snapchatu, kdy společnost Gibson Security zveřejnila kompletní dokumentaci k privátnímu API této mezi teenagery stále populárnější mobilní aplikace.
Zároveň také našla několik exploitů, které údajně umožnují komukoliv zjistit, zda je vlastník libovolného telefonního čísla na Snapchatu zaregistrovaný a pokud ano, tak ho najít, jeho data následně stáhnout a to i v případě, kdy je jeho účet nastaven jako privátní.
Problém byl o to větší, že API Snapchatu nemělo stanoveno maximální počet dotazů a proto nebyl/není problém použít script, který by výsledky porovnával hromadně.
Snapchat tento problém v podstatě nepřímo potvrdil a na svém blogu nyní zveřejnil vyjádření…
Tento týden na Štědrý večer určitá skupina zveřejnila dokumentaci k našemu privátnímu API. Zpráva také zahrnovala nepodložené tvrzení, podle kterého je možné získat databázi uživatelských jmen a jejich telefonních čísel.
Naše funkce „Find Friends“ umožnuje uživatelům nahrát jejich adresář do Snapchatu tak, že si mohou zobrazit, kdo z jejich kontaktů na Snapchatu je a kdo není. Přidání vašeho telefonního čísla do vašeho Snapchat účtu je zcela volitelné, ale velmi užitečné pokud chcete, aby vás vaši přátelé lehce našli. Nezobrazujeme telefonní čísla z vašeho adresáře ostatním uživatelům a nepodporujeme funkci, která by umožnila telefonní čísla a uživatelská jména mezi sebou spárovat.
Čistě teoreticky, kdyby byl někdo schopný hromadně uploadovat obrovské množství telefonních čísel, jako například každé telefonní číslo v USA, mohl by následně získat databázi s výsledky a telefonní čísla s uživatelskými jmény následně opravdu spárovat. Během tohoto roku jsme však implementovali velké množství protiopatření, který by tyto a další pokusy o zneužití měly velmi ztížit.
Zveřejněnou API dokumentaci si můžete prohlédnout zde.
foto: TechCrunch/Flickr