Snapchat ha subìto oggi un danno d’immagine di dimensioni colossali. L’applicazione per la messaggistica istantanea fuori dagli schemi tradizionali (consente di inviare e ricevere foto digitali che si “autodistruggono” nel giro di pochi secondi) è stata recentemente oggetto di aspre critiche, sia perché utilizzata per la pratica del sexting anche da parte di minorenni, sia per l’atteggiamento che i vertici di Snapchat avrebbero tenuto nel gestire una vulnerabilità di sicurezza segnalata dagli esperti di Gibson Security.
Come spiegato nel nostro articolo “Vulnerabilità in Snapchat: 10 righe di codice per risolverla“, i ricercatori di Gibson Security avevano contattato Snapchat già in agosto riferendo di aver individuato una pericolosa falla sfruttabile, da parte di malintenzionati, per risalire ai numeri telefonici personali degli utenti del servizio di messaggistica.
Nei giorni scorsi, il team di Gibson Security – non avendo ricevuto, per mesi, alcun riscontro da parte di Snapchat – ha deciso di rendere il problema di pubblico dominio riversando in Rete anche uno script per il rastrellamento delle informazioni.
La notizia è che nella notte sono stati pubblicati 4,6 milioni di numeri di telefono associati ad utenti di Snapchat, visualizzando – in corrispondenza di ciascuno di essi – il rispettivo nome dell’utente. Gli autori dell’operazione hanno allestito un sito web – SnapchatDB – attraverso il quale veniva distribuito il pingue database, sia in formato .SQL che .CSV.
Il sito web, ospitato presso un provider inglese, è stato poi rapidamente chiuso, molto probabilmente su esplicita richiesta di Snapchat.
Aiutandosi con la cache di Google, tuttavia, si può ancora leggere quanto riportato nella home page di SnapchatDB.
Gli autori del sito hanno confermato di aver razziato i 4,6 milioni di record servendosi del codice exploit sviluppato da Gibson Security e bollano la loro azione come “dimostrativa”, con lo scopo di spronare Snapchat alla definitiva risoluzione della problematica di sicurezza. Le poche righe comparse nella home page di SnapchatDB contengono un’esplicita accusa, rivolta ai vertici di Snapchat: la società non si prenderebbe sufficiemente a cuore la sicurezza e la privacy dei suoi utenti.
Le ultime due cifre di tutti i numeri telefonici pubblicati nelle scorse ore (nonostante SnapchatDB sia stato chiuso, la lista sta continuando a circolare su tutti i principali canali di comunicazione) sono state oscurate. Gli autori dell’aggressione, tuttavia, sono in possesso dell’informazione completa che – tra l’altro – può essere al momento ricostruita con un attacco mirato.
Le numerazioni, inoltre, si riferiscono ad utenti nordamericani: è possibile, comunque, che gli autori di SnapchatDB abbiano lavorato anche su utenze europee.