Cache d'environ 13 gigaoctets de photos, certains d'entre eux des utilisateurs nues et mineurs, fuite dans le Web gratuit le jeudi soir. La plupart d'entre eux ont été publiés dans le site Web de imageboard 4Chan. Le cache est venu de la messagerie photo application web Snapchat. Les liens de la quasi-totalité des images ont été fermés par 4Chan déjà en raison de la pornographie enfantine et le trafic des préoccupations. Selon les utilisateurs 4Chan, il y avait plus de 100,000 images affichées dans le cache bien.
L'histoire
Mise à jour (Octobre 12, 4:00 PM ET): Il semble que les fichiers ont été transférés à partir du serveur d'origine Snapchat à un un non-indexé par un opérateur agissant comme Snapchat spectateur sur le Web – SnapSaved.com, affiches sur 4Chan disent. Dans deux commentaires ci-dessous dans le conseil 4Chan et le stockage Pastebin notoire et le partage des textes du site, l'affiche originale des fichiers déclarent que leur contenu ne sera pas révélé.
Il semble que les images n'ont pas été prises depuis les serveurs de Snapchat quoique, mais à partir d'un des serveurs d'applications tiers qui a permis aux utilisateurs d'enregistrer des images et des vidéos lors de leur envoi par Snapchat. Dans une déclaration à la presse un porte-parole Snapchat assuré qu'il n'y avait pas de violation de la sécurité sur les serveurs de Snapchat et la fuite ne venait d'eux. Le cache a probablement été prise à partir d'applications tierces qui utilisent utilisateurs pour l'envoi de plus de "casse". Cette pratique est interdite dans les conditions d'utilisation de Snapchat pour éviter de telles violations, le porte-parole.
Selon un rapport publié par Business Insider les fichiers ont été brièvement stockées sur les logiciels malveillants et Web exploite serveur et que les affiches dans 4Chans qui ont réussi à télécharger les fichiers ont déjà créé une base de données avec eux indexé avec les noms d'utilisateurs de la Snapchat qui leur sont associés.
Négliger sécurité de l'information
Il semble que la fuite a été causée par un site appelé SnapSaved.com, un client Web intégré pour Snapchat pour les utilisateurs d'accéder à leurs «clichés» à partir d'un navigateur Web. Selon DNS enregistre le service a couru sur un serveur hébergé par une société d'hébergement appelé HostGator mais en essayant de vous connecter au site le lien mène à la page Facebook de SnapSaved.com seulement. Cela signifie leur serveur doit avoir été déconnecté pendant des mois, mais il semble gardé toutes les images envoyées ou reçues par l'insu des utilisateurs.
Le code de l'API de Snapchat n'est pas ouverte pour les développeurs tiers, mais l'année dernière la société a exigé du promoteur Thomas Lackner de supprimer une bibliothèque appelée Snaphax, donnant aux développeurs d'accéder aux services de l'API de Snapchat, du service Web GitHub accueil avec l'affirmation selon laquelle il avait violé le Digital Millennium Copyright Act. Il semble que Lackner a ingénierie inverse API code client Adroid de Snapchat et qu'il n'avait pas enlevé – il peut encore être trouvé sur GitHub. Le code utilise le cryptage AES pour les images et vidéos qui se partagent 128 bits clé secrète est codée en dur pour les clients pour leurs sessions Web SSL à l'aide de l'API ainsi.
Il est peu probable Snapchat avoir apporté des modifications importantes du code de l'API ou de la clé de chiffrement depuis si, que, ce faisant, l'accès pour les utilisateurs ayant plus Snapchat versions auraient été désactivé. Les tests sur des versions plus anciennes Snapchat pour iOS ont prouvé que ce n'est pas arrivé jusqu'à présent.
Aucun des plusieurs applications en utilisant le code de l'API à l'ingénierie inverse pour se connecter à Snapchat pour iOS ou Android, dont deux appelés SnapSave, utiliser une option de stockage en nuage ou sembler être connecté à SnapSave.com. SnapSave.com page de connexion, récupérées par leur seul Facebook, déclare que le site Web est exploité par une compagnie appelée SnapSave Online Inc.
Cependant, pour l'instant, Snapchat n'ont pas encore commenté la sécurité de l'API ainsi.