Cache på omkring 13 gigabyte af billeder, nogle af dem af nøgen og mindreårige brugere, lækket ud i den gratis web torsdag aften. De fleste af dem blev lagt i 4chan imageboard hjemmeside. Cachen kom fra foto messaging web-applikation Snapchat. Næsten alle billeder "links blev lukket ned af 4chan allerede på grund af børnepornografi og vedrører menneskehandel. Ifølge 4chan brugere der var mere end 100,000 billeder udstationeret i cachen selv.
The Story
Opdatering (Oktober 12, 4:00 PM ET): Det ser ud til filerne blev flyttet fra den oprindelige Snapchat server til en ikke-indekseret en af en operatør, der handler som Snapchat webbaseret fremviser – SnapSaved.com, plakater på 4chan sige. I to kommentarer bogført i 4chan bestyrelsen og berygtede Pastebin lagring og deling af tekster websted, den oprindelige plakat af filerne, at deres indhold ikke vil blive afsløret.
Det ser ud til, at billederne ikke er taget fra Snapchat servere selvom, men fra en tredjeparts-applikationsservere som tillod brugerne at gemme billeder og videoer, når du sender dem via Snapchat. I en erklæring til pressen en Snapchat talsmand forvisset om, at der ikke var nogen brud på sikkerheden i Snapchat servere og lækagen ikke kom fra dem. Cachen blev sandsynligvis taget fra tredjeparts-applikationer, som brugerne anvender til at sende over "snaps". Det er forbudt i Snapchat servicevilkår for at undgå sådanne overtrædelser, siger talsmanden.
Ifølge en rapport fra Business Insider filerne blev kortvarigt gemt på malware og web udnytter server og at plakater i 4Chans der har formået at hente filerne er allerede ved at skabe en database med dem indekseret med Snapchat har brugernavne, der er forbundet med dem.
Forsømmer Information Security
Det ser ud til lækagen er forårsaget af et websted kaldet SnapSaved.com, et web-baseret klient bygget til Snapchat for brugerne at få adgang til deres "snaps" fra en web-browser. Ifølge DNS registrerer tjenesten kørte på en server hos en hosting selskab kaldet HostGator men når du forsøger at oprette forbindelse til webstedet linket fører til SnapSaved.com Facebook-side kun. Det betyder, at deres server skal have været offline i måneder, men det tilsyneladende holdt alle billeder, der sendes eller modtages af uden brugerens viden.
Snapchat API kode er ikke åben for tredjeparts-udviklere, men sidste år virksomheden forlangte fra udvikleren Thomas Lackner at fjerne et bibliotek kaldet Snaphax, giver udviklere adgang til Snapchat API-tjenester, fra GitHub web-baseret hosting service med påstanden om, at han havde overtrådt Digital Millennium Copyright Act. Det forekommer, at Lackner har reverse engineering Snapchat API Adroid klient kode, og han ikke havde fjernet det – det kan stadig findes på GitHub. Koden bruger 128-bit AES-kryptering til billeder og videoer, som delte hemmelige nøgle er hard-kodet til kunderne for deres SSL web-sessioner ved hjælp af API samt.
Det er usandsynligt, Snapchat at have gjort nogen væsentlige ændringer i API-koden eller krypteringsnøglen siden da selv, som dermed adgang for brugere med ældre Snapchat versioner ville have været slukket. Forsøg på ældre Snapchat versioner til iOS har vist, at dette ikke er sket hidtil.
Ingen af de mange applikationer ved hjælp af reverse engineering API kode til at forbinde til Snapchat til iOS eller Android, herunder to kaldet SnapSave, bruge en cloud storage løsning eller synes at være forbundet til SnapSave.com. SnapSave.com log ind side, hentet af deres Facebook ene, hedder det, at web-site er ved at blive drevet af et firma kaldet SnapSave Online Inc.
Men, som i endnu, Snapchat har endnu ikke kommenteret på deres API sikkerhed samt.
