מומחי אבטחה: אפשר לגנוב בקלות תמונות פרטיות מסנאפצ'ט
ממשקי תכנות חבויים בקוד אפליקציית הצ'ט הפופולרית מאפשרים להאקרים לגנוב תמונות ותכנים אחרים ממאות מיליוני משתמשים. סנאפצ'ט, מצידה, מתעלמת מן המידע שקיבלה מחברת האבטחה על אף שבכוחה לתקן את הפרצות בקלות
12:5726.12.13
מאות מיליוני המשתמשים של סנאפצ'ט הביאו לה הצעות רכישה בסכומים של 3-4 מיליארד דולר - אבל עכשיו נאלצת אפליקציית הצ'ט לשלם את מחיר הפופולריות, כשהיא הופכת מטרה אטרקטיבית להאקרים.
חברת האבטחה האוסטרלית גיבסון, שגילתה באוגוסט האחרון מספר ממשקי תכנות (API) חבויים של השירות שניתן לנצל לרעה, פרסמה אתמול את פרטי הגישה אליהם וקוד זדוני שפיתחה, שמאפשר לכל אחד למצוא את מספרי הטלפון והשמות של משתמשי השירות על פי הכינוי שלהם בלבד, ולהיפך. המידע פורסם לאחר שהועבר עם גילויו לידי החברה כדי לסייע לה לסגור את הפרצה, אך זו בחרה להתעלם ממנו.
קראו עוד בכלכליסט:
- בועת צ'ט: סנאפצ'ט גייסה 50 מיליון דולר מקרן Coatue
- דיווח: סנאפצ'ט שווה רק חצי מהסכום שהציעה עבורה גוגל
- גביע הצ'ט מחליף ידיים: Whatsapp עקפה את פייסבוק מסנג'ר
אוון שפיגל, מייסד סנאפצ'ט צילום: איי פי
הפרצות שגילתה גיבסון מאפשר לכל אחד לכרות פרטים אישיים מהשירות ולבנות בסיס נתונים של משתמשי סנאפצ'ט, שיכול לכלול גם פרטים של משתמשים שהגדירו את החשבון שלהם כפרטי, כך שרק חברים שאישרו אמורים לדעת על קיומו. מכיוון שבסיסי הנתונים הללו עשויים להיות בעלי ערך רב למשווקים, למי שיבנה אותם יהיה אינטרס למכור את המידע לכל מי שיהיה מעוניין.
הן עלולות להוביל לפגיעה חמורה יותר בפרטיות המשתמשים, טוענים אנשי גיבסון, מאחר ובשילוב עם כלים אחרים הן יאפשר לכל מי שירצה למצוא את מספר הטלפון של אדם תוך דקות באמצעות ידיעה כללית של איזור מגוריו.
תשכחו מהשימוש האנונימי
אחד מחורי האבטחה, שמכונה find_friends, מאפשר ליצור בוט שיפציץ את השירות במספרי טלפון אקראיים ויקבל בתגובה, כאשר אחד המספרים קיים במערכת, את פרטי המשתמש הרלוונטי, כולל שם המשתמש והכינוי שלו בשירות. פרצה נוספת מאפשרת יצירה של אלפי חשבונות פיקטיביים בשירות באופן אוטומטי. לטענת גיבסון, בסנאפצ'ט יודעים על הפרצות מזה מספר חודשים והיו יכולים לתקן את הבעיה באמצעות 10 שורות של קוד.
בעיה נוספת שקיימת בשירות, המאפשר משלוח תמונות שמוחקות את עצמן אוטומטית לאחר מספר שניות, היא אפשרות קלה של הנמען לשמור עותק של התמונה החד-פעמית כביכול, ללא ידיעת השולח, באמצעות שורה של אפליקציות צד ג' המיועדות למטרה זו בלבד, או פשוט באמצעות הפעלת פונקציית צילום המסך במכשיר הטלפון - דבר שהופך את השימוש בסנאפצ'אט לסקסטינג (משלוח תמונות בעלות אופי מיני) להרבה בטוח דיסקרטי ובטוח ממה שמשתמשיה סבורים.