黑客将460多万所谓的Snapchat用户的电话号码和用户名匹配在了网上。几天前,一个安全研究小组声称社交分享服务存在一个漏洞,可以让攻击者将电话号码与Snapchat账户匹配。
SnapchatDB.info网站上的一篇文章称:“这个数据库包含了绝大多数Snapchat用户的用户名和电话号码对。”该账户已经被暂停,显然是托管服务。可以查看网站的缓存版本在这里。
+也在网络世界:2013年科技、科学和发明领域引人注目的死亡案例+
据《华盛顿邮报》报道,这些信息是通过最近打了补丁的Snapchat漏洞获得的,并被分享给公众,以提高对这一问题的认识。“公司在修补漏洞上太不情愿了,直到他们意识到为时已晚,我们信任的公司在处理这个问题时应该更加小心,”它补充道。
+也在网络世界:创新议程让影子IT OK+
黑客们表示,他们目前已经“审查”了电话号码的最后两个数字,以尽量减少垃圾邮件和滥用,但要求人们联系他们的未经审查的数据库,他们可能同意在某些情况下公布。
吉布森安全出版了上周的概念验证代码,利用了Snapchat应用程序编程接口(API)中的“find_friends”特性,在短时间内迭代并匹配用户的电话号码和他们的Snapchat账户。吉布森在8月份首次披露了这一弱点和其他问题。
“从理论上讲,如果有人能够上传一大堆电话号码,比如一个区号中的每个号码,或者美国的每个可能的号码他们可以创建一个结果数据库,并通过这种方式将用户名与电话号码匹配起来,”Snapchat说写了作为上周的回应。“在过去的一年里,我们已经实施了各种安全措施,使其更难实现,”该机构补充说。“我们最近增加了额外的防范措施,并会继续作出改善,以打击滥发讯息和滥用资讯。”
在SnapchatDB数据库发布后,Gibson在Twitter上说消息它对SnapchatDB一无所知,但类似的事情迟早会发生。该公司补充说:“该漏洞在进行了小的修复后仍然有效。”
记者未能立即联系到Snapchat置评。
“人们倾向于使用相同的用户名在网络上你可以使用此信息来找到电话号码与Facebook和Twitter账户相关信息,或简单地算出你想联系的人的电话号码,”根据SnapchatDB.info post。
约翰·里贝罗报道外包和通用技术突发新闻从印度IDG新闻服务。在Twitter上关注约翰@Johnribeiro。约翰的电子邮件地址是john_ribeiro@idg.com