Caché de alrededor 13 gigabytes de imágenes, algunos de ellos de los usuarios menores de edad desnudos y, se filtró en la web libre de la noche del jueves. La mayoría de ellos fueron publicados en el sitio web de imageboard 4Chan. La caché de vino de la web-aplicación de mensajería foto Snapchat. Casi todos los enlaces imágenes 'fueron cerradas por 4Chan ya debido a la pornografía infantil y la trata de preocupaciones. Según los usuarios de 4Chan había más de 100,000 Las imágenes publicadas en la memoria caché, aunque.
La Historia
Actualización (Octubre 12, 4:00 PM ET): Parece que los archivos fueron trasladados desde el servidor Snapchat original a un no-indexados uno por un operador que actúa como Snapchat visor basado en web – SnapSaved.com, carteles en 4Chan dicen. En dos comentarios publicados en el tablero de 4chan y el notorio almacenamiento Pastebin y compartiendo textos sitio, el cartel original de los archivos de estado que su contenido no será revelado.
Parece que las imágenes no fueron tomadas desde los servidores de Snapchat aunque, pero desde unos servidores de aplicaciones de terceros que permitió a los usuarios guardar imágenes y vídeos al enviar a través de Snapchat. En una declaración a la prensa un portavoz Snapchat aseguró que no hubo violación de la seguridad en los servidores de Snapchat y la fuga no proviene de ellos. El caché probablemente fue tomado de las aplicaciones de terceros que los usuarios están utilizando para el envío de más de "encaje". Esto está prohibido en la Snapchat Condiciones del servicio para evitar tales infracciones, el portavoz dijo.
De acuerdo con un informe de Business Insider los archivos se almacenaron brevemente sobre malware y ataques al servidor web y que los carteles en 4Chans que han logrado para descargar los archivos ya están creando una base de datos con ellos indexado con los nombres de usuario de la Snapchat asociados con ellos.
Descuidar Seguridad de la Información
Parece que la fuga haya sido causado por un sitio llamado SnapSaved.com, un cliente basado en web construida para Snapchat para los usuarios para acceder a sus "encaje" de un navegador web. Según DNS registra el servicio funcionó en un servidor alojado por una empresa de hosting llamada HostGator pero al intentar conectarse al sitio del enlace lleva a la página de Facebook sólo SnapSaved.com. Esto significa que su servidor debe haber sido desconectado durante meses, pero al parecer guardaba todas las imágenes enviadas o recibidas por sin el conocimiento de los usuarios.
Código API de Snapchat no está abierto para los desarrolladores de terceros, pero el año pasado la empresa exigió al desarrollador Thomas Lackner para eliminar una biblioteca llamada Snaphax, dando a los desarrolladores acceso a los servicios del API de Snapchat, desde el servicio de hosting GitHub basado en la web con la afirmación de que se había violado la Digital Millennium Copyright Act. Parece que Lackner ha ingeniería inversa API de código de cliente Adroid de Snapchat y él no la había quitado – todavía se puede encontrar en GitHub. El código utiliza 128-bit AES de cifrado para las imágenes y vídeos que compartían clave secreta está codificada para los clientes de sus sesiones web SSL utilizando el API, así.
Es Snapchat poco probable que haya hecho ningún cambio significativo en el código API o la clave de cifrado, desde entonces, aunque, como al hacerlo, el acceso a los usuarios que tienen mayor Snapchat versiones habrían sido desactivado. Las pruebas en las versiones más antiguas Snapchat para iOS han demostrado que esto no ha sucedido hasta el momento.
Ninguna de las varias aplicaciones que utilizan código API ingeniería inversa para conectarse a Snapchat para iOS o Android, incluyendo dos llamados SnapSave, utilizar una opción de almacenamiento en la nube o parecen estar conectados a SnapSave.com. SnapSave.com ingreso en la página, recuperada por su Facebook una, establece que el sitio web está siendo operado por una compañía llamada SnapSave Online Inc.
Sin embargo, hasta el momento, Snapchat todavía no han comentado sobre su seguridad API, así.
