450萬名Snapchat用戶的使用者名稱和電話號碼被曝光

趨勢科技全球安全研究副總裁 Rik Ferguson

在舊時代,一切都還是黑白分明的時候,如果有陌生人在街上接近你,跟你要通訊錄副本的話,你肯定覺得他瘋了。如果有店員堅持要你用100名朋友的資料來換取優惠券也會是一樣奇怪的要求。不知什麼時候,資料本身數位化了,而且傳輸過程無形且無痛,讓這些成為完全可以接受的行為。與其繼續讓隱私被侵蝕,這類服務的使用者最好將手機用在其長期被忽略的原本目的上,或許打電話給那些朋友們,甚至安排見個面(!)好親自聊聊你所發現很棒的新應用程式,而不是一股腦地將你的朋友賣掉。

超過450萬名Snapchat用戶的使用者名稱和電話號碼被發佈在名為SnapchatDB.info的網站上。根據TechCrunch,SnapchatDB表示攻擊者是利用一個在2013年12月23日所披露的漏洞。

DLP

 「我們這次發佈背後的動機是為了提高公眾意識在解決該問題上,也將公眾壓力帶給Snapchat,好讓此漏洞獲得修復。高科技初創公司的資源有限是可以理解的,但安全和隱私不該是次要目標。安全的重要性就跟使用者體驗一樣」

當然,這並非第一次在 Snapchat 服務或應用程式上發現漏洞。在最近幾個月內,各種偷偷儲存照片或恢復已刪除照片的方法已經成為好幾次的頭條,這些都是應用程式本身的漏洞,在使用者設備上攻擊漏洞。最新的這次攻擊是利用Snapchat自己伺服器上API的弱點,該API用來讓 Snapchat伺服器和 Snapchat客戶端進行通訊。

這些弱點可以讓自動化系統在短時間內對 Snapchat伺服器進行大量的查詢,發掘特定號碼是否存在 Snapchat 的資料庫內,並檢索與該號碼相關聯的其它資料,當然這號碼就是行動電話號碼。這次攻擊,再加上進一步的資料採礦(像透過社群媒體),可以輕易地建立出非常巨大的個人資料庫,用在各種進一步的攻擊或用來轉售。雖然Snapchat在幾個月前就意識到這些漏洞,GibsonSec – 概念證明漏洞攻擊碼的公布者聲稱他們仍然可以輕易地加以攻擊,而Snapchat DB證明了這一點。

這兩塊區域(行動應用程式漏洞和API漏洞),很大部分仍在等待犯罪份子去發掘,但我們完全有理由相信會在未來幾年看到惡意攻擊的成長,而不只是簡單的概念證明。趨勢科技身為使用者,儲存比以前更多的資料(屬於其他人的資料)在行動設備上,應用程式開發者對於掌握這些資料都很有興趣,不法份子也是。太多太多應用程式要求(或乾脆用偷)像是包含在你通訊錄的資料。而且有太多應用程式的使用者願意交出這些資料,因為邀請他們的朋友進入另一個社群網路/簡訊平台有種莫名的「快感」。

根據趨勢科技行動應用程式信譽評比服務所收集資料而進行的分析顯示,超過20 %的應用程式會持續洩漏資料,而最常被洩漏的資料是你的聯絡人、你的位置、你的電話號碼和關於手機跟SIM卡的詳細資料。

在舊時代,一切都還是黑白分明的時候,如果有陌生人在街上接近你,跟你要通訊錄副本的話,你肯定覺得他瘋了。如果有店員堅持要你用100名朋友的資料來換取優惠券也會是一樣奇怪的要求。不知什麼時候,資料本身數位化了,而且傳輸過程無形且無痛,讓這些成為完全可以接受的行為。與其繼續讓隱私被侵蝕,這類服務的使用者最好將手機用在其長期被忽略的原本目的上,或許打電話給那些朋友們,甚至安排見個面(!)好親自聊聊你所發現很棒的新應用程式,而不是一股腦地將你的朋友賣掉。

而作為一個社群平台,你滿意的客戶是你最好的代言人。如果你開始用損害他們本身利益的方式來行事,那肯定是會出事的,就如同Path在2013年初發現這所帶來的代價

 

@原文出處:Snapchat user data exposed in huge data theft

 

 

 

freeDownload_540x90

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載試用

 

◎ 歡迎加入趨勢科技社群網站