סנאפצ'ט נפרצה, מספרי הטלפון של מיליוני משתמשים נחשפו
במשך חודשים מומחי אבטחה הזהירו את החברה כי ניתן לדלות ממנה בקלות את פרטי משתמשיה. החברה ביטלה את הטענות, וכעת האקרים מפרסמים את הפרטים של 4.6 מיליון מספרי טלפון
פרצת אבטחה חמורה בשירות המסרים המיידיים וחילופי התמונות סנאפצ'ט (Snapchat) הובילה לדליפת הפרטים האישיים של 4.6 מיליון משתמשים. כל שמות המשתמש ומספרי הטלפון שלהם פורסמו באינטרנט. רובם המוחלט, אם לא כולם, תושבי ארצות הברית וקנדה.
- סין פיצחה את סקייפ ומנטרת אותה, מיקרוסופט מביטה מן הצד
- אמרי לי גוגל, זו ידיעה או מודעה?
- המשקיע שמצא את הלהיט הבא: "אנו מעבדים פי 7 יותר תמונות מאינסטגרם"
הפרטים פורסמו באתר שנפתח במיוחד לצורך זה - SnapchatDB. ככל הנראה, האנשים שעומדים מאחורי האתר הם ההאקרים ששלפו את הנתונים ממאגרי המידע של השירות הפופולרי. פרטיהם לא ידועים, וכתובת האתר נרשמה מתא דואר שאינו קיים בפנמה. נכון לשעת כתיבת הידיעה האתר עצמו עדיין פעיל, ואולם הקישורים לנתונים עצמם כבר אינם פעילים. לפי הדיווחים של גולשים שהספיקו להוריד את הנתונים לפני שהגישה להם נחסמה, הקבצים ששחררו ההאקרים כללו שמות משתמש מלאים ומספרי טלפון, מהם שתי הספרות האחרונות הוסרו.
"אנשים נוטים להשתמש באותו שם משתמש ברשת, אז אפשר להשתמש במידע זה כדי לאתר את מספר הטלפון של משתמשים בפייסבוק ובטוויטר, או פשוט לזהות מספרי טלפון של אנשים שאתם רוצים ליצור איתם קשר", נכתב באתר. “בשלב זה, צנזרנו את שתי הספרות האחרונות של מספר הטלפון כדי להביא למינימום מקרים של ספאם וניצול לרעה. תרגישו חופשי לבקש מאיתנו את מאגר המידע הלא מצונזר. בנסיבות מסוימות, ייתכן שנסכים להפיץ אותו".
ניתן לפרש את האמירה האחרונה - לגבי מוכנותם של ההאקרים להפיץ את המידע המלא "בנסיבות מסוימות" - כרמיזה לכך שהם מוכנים למכור את מאגר המידע המלא. פרשנות זאת מתחזקת לאור העובדה שמפעילי האתר פרסמו כתובת של ארנק ביטקוין על מנת לקבל "תרומות".
מי פחות אמין - ההאקרים או החברה?
לטענת מפעילי האתר, מאגר המידע שבידם כולל את מרבית משתמשי סנאפצ'ט בעולם. עם זאת, לפי מחקר של Pew Research לשירות יש, רק בארצות הברית, 26 מיליון משתמשים. החברה מעולם לא חשפה נתונים רשמיים על כמות המשתמשים שלה. בנוסף, משתמש רדיט שבדק את הנתונים טוען כי חסרים בו שתי קידומות של מספרי טלפון בקנדה ו-248 קידומות בארה"ב ובכללם כל הקידומות ב-21 מדינות. מה שמראה כי ככל הנראה, מדובר במסד נתונים חלקי בלבד.
מפעילי האתר טוענים כי השיגו את הנתונים באמצעות פרצת אבטחה בסנאפצ'ט, ושהם מפרסמים אותם כדי לעורר מודעות לנושא. “החברה סירבה לתקן את הפרצה עד שידעה שזה מאוחר מדי. חברות שאנו מפקידים בידיהן את המידע שלנו צריכות לגלות זהירות כשהן מטפלות בו", נכתב.
הפרצה המדוברת נחשפה לראשונה באוגוסט האחרון, כאשר קבוצה של מומחי אבטחה בשם Gibson Security פרסמו כי ניתן לנצל את כלי הפיתוח של סנאפצ'ט על מנת לשלוף שמות משתמש ומספרי טלפון. ביום רביעי, אחרי שהחברה התעלמה מפניות המומחים לתקן את הפרצה, פרסמה הקבוצה כיצד לנצל את הפירצה שגילתה, וכן קוד המאפשר יצירה המונית של חשבונות מזויפים. בעזרת החשבונות האלו, ניתן להציף את המערכת של סנאפצ'ט בבקשות מידע על מנת לנסות ולאתר את כל מספרי הטלפון של המשתמשים בשירות.
בתגובה רשמית שפרסמה החברה ביום שישי, היא פטרה כלאחר יד את ממצאי מומחי האבטחה, וטענה כי השימוש בפרצה אינו מעשי, מכיוון שזה דורש העלאה ויצירה של מאגר מידע הכולל מספר עצום של מספרי טלפון. “בשנה האחרונה הטמענו מנגנונים שונים שיקשו לעשות זאת. לאחרונה הוספנו אמצעי נגד נוספים ואנו ממשיכים לשפר את השירות כדי להילחם בספאם ובניצול לרעה", נכתב בפוסט בבלוג הרשמי של סנאפצ'ט.
אבל כעת, לאור דליפת ופרסום מאגר המידע , נראה כי הודעת ההרגעה של החברה הייתה נמהרת ולא אמינה. נכון לשעת פרסום הידיעה, סנאפצ'ט טרם הגיבה לדליפה.