Lamiyi

SnapchatDB! という新しいウェブサイトが、Snapchat のユーザー名と電話番号 460 万件を漏洩したとされています。

このサイトは http://www.snapchatdb.info/ にあり、情報を SQL ダンプおよび CSV テキストとしてダウンロードできます。

何をダウンロードしているのですか？
460万人のユーザーの電話番号情報とユーザー名をダウンロードしています。ウェブ上では同じユーザー名を使い回す傾向があるため、この情報を使ってFacebookやTwitterのアカウントに関連付けられた電話番号情報を見つけたり、連絡を取りたい人の電話番号を調べたりすることができます。

詳細情報…
このデータベースには、Snapchatユーザーの大多数のユーザー名と電話番号のペアが含まれています。この情報は、最近修正されたSnapchatのエクスプロイトを通じて取得されたもので、この問題への意識を高めるために公開されています。Snapchatは、手遅れになるまでエクスプロイトの修正に消極的でした。私たちが信頼して情報を預けている企業は、このエクスプロイトの取り扱いにもっと注意を払うべきです。現在、スパムや不正利用を最小限に抑えるため、電話番号の最後の2桁を検閲しています。検閲されていないデータベースをご希望の場合は、お気軽にお問い合わせください。状況によっては、公開に同意する場合があります。

先月、ZDNetは、Snapchatが8月以来セキュリティ開示を無視していたことを受けて、Gibson Securityが、電話番号と名前を大量に照合し、偽のアカウントを大量に作成できるエクスプロイトの未文書化された開発者フック（API）とコードを公開したと報じた。

リークによると、この脆弱性は最近修正されたとのことだが、リスト上のユーザーにとってはあまり安心できないだろう。

開発者の Robbie Trencheny 氏と Will Smidlein 氏は、ユーザー名を入力してアカウントがハッキングされたかどうかを確認できる逆引き検索ツールを作成した。

Snapchatはまだ声明を発表していません。最新情報については、 Twitter、Facebook、またはRSSでiClarifiedをフォローしてください。

更新： Snapchatは今回の侵害に関して、以下の声明を発表しました。Snapchat
を開発し始めた当初、このサービスを利用している他の友達を見つけるのに苦労しました。アドレス帳に登録されている、同じくSnapchatを利用している友達を見つける手段が必要だったため、「友達を探す」機能を開発しました。「友達を探す」機能は、Snapchatユーザーに電話番号を入力してもらうオプションサービスで、友達がユーザー名を見つけられるようにします。つまり、「友達を探す」機能に電話番号を入力すると、アドレス帳にあなたの電話番号を登録しているユーザーがあなたのユーザー名を見つけることができるということです。

2013年8月、セキュリティグループが「友達を探す」の潜在的な不正利用に関するレポートを初めて公開しました。その後まもなく、私たちはこれらの懸念に対処するため、レート制限などの対策を実施しました。クリスマスイブには、同じグループがAPIを公開し、個人がサービスを不正利用し、利用規約に違反することを容易にしました。

先週金曜日のブログ投稿で、攻撃者が「友達を探す」機能を利用して大量のランダムな電話番号をアップロードし、Snapchatのユーザー名と照合する可能性があることをお知らせしました。大晦日には、攻撃者が一部編集された電話番号とユーザー名のデータベースを公開しました。これらの攻撃では、Snapchatを含むその他の情報は漏洩またはアクセスされていません。

Snapchatアプリのアップデート版をリリースします。これにより、Snapchatユーザーは電話番号認証後に「友達を探す」への表示をオプトアウトできるようになります。また、将来的にサービスが不正利用される可能性に対処するため、レート制限などの制限も強化します。

セキュリティ専門家が当社のサービスを悪用する新たな方法を発見した際に、迅速に対応できるよう、ご連絡を差し上げたいと考えています。セキュリティ上の脆弱性についてお知らせいただく最善の方法は、[email protected] までメールでご連絡いただくことです。

Snapchat コミュニティは、友人が安心して自分自身を表現できる場所であり、私たちは不正行為の防止に尽力しています。