Snapchat подтвердил утечку данных своих пользователей, но не извинился

    image

    Snapchat назвал недавнюю утечку юзернеймов и телефонных номеров 4,6 млн своих пользователей «злоупотреблением» API сервиса. В то же время компания фактически признала, что её способ хранения информации сделал возможным использовать базу номеров для определения имён пользователей и их сопоставления с номерами, пишет TechCrunch.

    Как заявил Snapchat, в приложения и в сам сервис будут внесены дополнительные изменения для того, чтобы предотвратить будущие утечки. В том числе будет добавлена возможность отказаться от функции поиска друзей, которая использует номера телефонов.

    Компания говорит, что была уведомлена о возможной угрозе безопасности в августе и предприняла некоторые шаги, чтобы её исправить — среди прочего, ограничив скорость, с которой может запрашиваться API сервиса. В конце прошлого месяца в ответ на заявления, что в сервисе всё ещё есть дыра, позволяющая получить базу юзернеймов с телефонными номерами, Snapchat написал в своём блоге, что теоретически это возможно:

    Теоретически, если кто-то в состоянии загрузить огромный набор телефонных номеров, например каждый номер в пределах кода города или каждый номер в США, он мог бы создать базу данных и соотнести имена пользователей и их телефонные номера.


    Это звучало как маловероятный сценарий, однако именно это и сделала команда сайта SnapchatDB.info, в результате получив данные 4,6 млн пользователей Snapchat. Своей целью они назвали привлечение внимание общественности и давление на Snapchat, чтобы он полностью закрыл уязвимость: «Понятно, что у технических стартапов мало ресурсов, но безопасность и конфиденциальность не должны быть вторичной целью».

    Теперь Snapchat намерен добавить функцию, которая позволит пользователям не быть найденными через функцию поиска друзей по их номеру телефона. Компания также обещает ещё больше ограничить скорость для запросов API и добавить «другие ограничения» для будущих попыток злоупотребления сервисом.

    Многие обратили внимание, что в ответе Snapchat не содержится никаких извинений перед пользователями, данные которых оказались опубликованными. TechCrunch пишет, что, возможно, это попытка избежать признания вины, но выглядит это как неудачная попытка.
    Поделиться публикацией

    Комментарии 11

      0
      Хорошая идея, хранить разные части персональных данных в разных таблицах и сопоставлять сложным алгоритмом. Или шифровать.
        +1
        >> шифровать :)
          +1
          и шифровать :)
            –1
            и шифровать?
          +7
          Так там, насколько я понимаю, не сервер с базой данных взломали, а тупо загрузили адресную книгу с большим диапазоном номеров на сервер чата, а он её отфильтровал и выдал в ответ зарегистрированных юзеров.

          Так же работают WhatsApp и Viber — они отправляют локальную адресную книгу на свой сервер, сервер сверяет номера с зарегистрированными пользователями и шлёт назад совпавшие номера.
          Когда я установил себе впервые WhatsApp, я вдруг увидел там онлайн людей, контакт с которыми я давно потерял, но их старые сотовые номера валялись у меня в адресной книге. Когда я им написал через WhatsApp, выяснилось, что эти номера давно уже принадлежат совсем другим людям, у которых точно не могло быть моего номера в адресной книге (можно, конечно, предположить, что мой номер тоже раньше принадлежал кому-то из их старых знакомых :), т.е. проверка на совпадение производится не обоюдная, и это позволяет «пропинговать» любой номер.
            0
            ватсапу цены бы не было, если бы он не хранил всю хистори на сервере(и только на нем) и, если бы не было вот это штуки с контактами. Ну другой вараинт — галочка «не отображать мое имя».
        • НЛО прилетело и опубликовало эту надпись здесь
            +1
            Запись в телефоном справочнике всегда была добровольной.
              0
              Дык, ваш телефонный номер вы тоже Snapchat даете добровольно, и в том числе соглашаетесь, чтобы он позволял проверять — есть ли такой номер в системе.
            0
            Кстати, по аналогичной причине я отказался от Whatsap — загружаешь любой номер и получаешь доступ к профилю, если такой есть в базе. Информации не много, но можно хотя бы фотографию пользователя получить, что уже как бы не хорошо. Подобные приложения должны встроить механизм авторизации контактов из записной книжки — что-то вроде: такое контакт есть в системе, хотите добавить? пошлите запрос.
              +2
              Исходя из заголовка, их главная проблема — невоспитанность.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое