Cache de cerca de 13 gigabytes de fotos, alguns deles de usuários nus e menores de idade, vazou na web gratuita na noite de quinta-feira. A maioria deles foi postada no site imageboard do 4Chan. O cache veio do aplicativo da web de mensagens de fotos Snapchat. Quase todos os links de imagens foram fechados pelo 4Chan devido a pornografia infantil e questões de tráfico. De acordo com os usuários do 4Chan, havia mais de 100,000 imagens postadas no cache embora.
A história
Atualizar (Outubro 12, 4:00 PM ET): Parece que os arquivos foram movidos do servidor Snapchat original para um não indexado por um operador que atua como visualizador baseado na web do Snapchat – SnapSaved.com, pôsteres no 4Chan dizem. Em dois comentários postados no quadro do 4Chan e no notório site de armazenamento e compartilhamento de textos Pastebin, o pôster original dos arquivos afirma que seu conteúdo não será revelado.
Parece que as imagens não foram tiradas dos servidores do Snapchat, no entanto, mas de servidores de aplicativos de terceiros que permitiam aos usuários salvar imagens e vídeos ao enviá-los pelo Snapchat. Em um comunicado à imprensa, um porta-voz do Snapchat garantiu que não houve violação de segurança nos servidores do Snapchat e que o vazamento não veio deles. O cache provavelmente foi obtido de aplicativos de terceiros que os usuários estão usando para enviar "instantâneos". Isso é proibido nos Termos de Serviço do Snapchat para evitar tais violações, o porta-voz disse.
De acordo com um relatório do Business Insider, os arquivos foram armazenados brevemente no servidor de malware e exploits da web e que os usuários do 4Chans que conseguiram baixar os arquivos já estão criando um banco de dados com eles indexados com os nomes de usuário do Snapchat associados a eles.
Negligenciar a segurança da informação
Parece que o vazamento foi causado por um site chamado SnapSaved.com, um cliente baseado na web desenvolvido para Snapchat para que os usuários acessem seus “snaps” de um navegador da web. De acordo com os registros DNS, o serviço é executado em um servidor hospedado por uma empresa de hospedagem chamada HostGator, mas ao tentar se conectar ao site, o link leva apenas à página do Facebook do SnapSaved.com. Isso significa que seu servidor deve ter ficado offline por meses, mas aparentemente manteve todas as imagens enviadas ou recebidas sem o conhecimento dos usuários.
O código da API do Snapchat não está aberto para desenvolvedores terceirizados, mas no ano passado a empresa exigiu do desenvolvedor Thomas Lackner a remoção de uma biblioteca chamada Snaphax, dando aos desenvolvedores acesso aos serviços de API do Snapchat, do serviço de hospedagem baseado na web GitHub com a alegação de que ele violou a Lei de Direitos Autorais do Milênio Digital. Parece que Lackner fez a engenharia reversa do código do cliente Adroid da API do Snapchat e não o removeu – ainda pode ser encontrado no GitHub. O código usa criptografia AES de 128 bits para imagens e vídeos cuja chave secreta compartilhada é codificada para clientes para suas sessões SSL da web usando a API também.
É improvável que o Snapchat tenha feito alterações significativas no código da API ou na chave de criptografia desde então, pois ao fazer isso, o acesso para usuários com versões mais antigas do Snapchat teria sido desativado. Testes em versões mais antigas do Snapchat para iOS provaram que isso não aconteceu até agora.
Nenhum dos vários aplicativos que usam código de API de engenharia reversa para se conectar ao Snapchat para iOS ou Android, incluindo dois chamados SnapSave, use uma opção de armazenamento em nuvem ou pareça estar conectado ao SnapSave.com. Página de login do SnapSave.com, recuperado por seu Facebook, afirma que o site está sendo operado por uma empresa chamada SnapSave Online Inc.
Contudo, por enquanto, O Snapchat ainda não comentou sobre sua segurança de API também.
