趨勢科技全球安全研究副總裁 Rik Ferguson
在舊時代,一切都還是黑白分明的時候,如果有陌生人在街上接近你,跟你要通訊錄副本的話,你肯定覺得他瘋了。如果有店員堅持要你用100名朋友的資料來換取優惠券也會是一樣奇怪的要求。不知什麼時候,資料本身數位化了,而且傳輸過程無形且無痛,讓這些成為完全可以接受的行為。與其繼續讓隱私被侵蝕,這類服務的使用者最好將手機用在其長期被忽略的原本目的上,或許打電話給那些朋友們,甚至安排見個面(!)好親自聊聊你所發現很棒的新應用程式,而不是一股腦地將你的朋友賣掉。
超過450萬名Snapchat用戶的使用者名稱和電話號碼被發佈在名為SnapchatDB.info的網站上。根據TechCrunch,SnapchatDB表示攻擊者是利用一個在2013年12月23日所披露的漏洞。
「我們這次發佈背後的動機是為了提高公眾意識在解決該問題上,也將公眾壓力帶給Snapchat,好讓此漏洞獲得修復。高科技初創公司的資源有限是可以理解的,但安全和隱私不該是次要目標。安全的重要性就跟使用者體驗一樣」
當然,這並非第一次在 Snapchat 服務或應用程式上發現漏洞。在最近幾個月內,各種偷偷儲存照片或恢復已刪除照片的方法已經成為好幾次的頭條,這些都是應用程式本身的漏洞,在使用者設備上攻擊漏洞。最新的這次攻擊是利用Snapchat自己伺服器上API的弱點,該API用來讓 Snapchat伺服器和 Snapchat客戶端進行通訊。
這些弱點可以讓自動化系統在短時間內對 Snapchat伺服器進行大量的查詢,發掘特定號碼是否存在 Snapchat 的資料庫內,並檢索與該號碼相關聯的其它資料,當然這號碼就是行動電話號碼。這次攻擊,再加上進一步的資料採礦(像透過社群媒體),可以輕易地建立出非常巨大的個人資料庫,用在各種進一步的攻擊或用來轉售。雖然Snapchat在幾個月前就意識到這些漏洞,GibsonSec – 概念證明漏洞攻擊碼的公布者聲稱他們仍然可以輕易地加以攻擊,而Snapchat DB證明了這一點。 繼續閱讀
