SnapChat : les données de plus de 4 millions de comptes exposées en ligne

Le par  |  2 commentaire(s) Source : Forbes
snapchat logo

La faille dans les API du service SnapChat a été exploitée pour récupérer des données personnelles des comptes des utilisateurs, reliant leur nom à leur numéro de téléphone, en partie diffusés sur Internet.

Il y a quelques jours, un groupe de sécurité mettait en garde le service de partage de photos SnapChat contre une vulnérabilité dans son API qui permettait d'accéder aux données des comptes des utilisateurs, avec notamment la possibilité de relier nom d'utilisateur et numéro de téléphone.

Le groupe avait en fait averti la startup depuis le mois d'août mais ne voyant pas de correction apportée, il a décidé d'évoquer son existence, avertissant du risque de création de bases de données à partir de ces informations. Il fustigeait d'ailleurs le manque de réactivité de la startup alors que la correction de cette faille n'est pas très compliquée.

Dans une réponse faite sur son blog, SnapChat rappelait que la saisie d'un numéro de téléphone dans le compte était optionnelle (mais pratique pour être identifié en tant qu'utilisateur du service) et que la fonction Find Friends uploadait le carnet d'adresses pour identifier d'autres utilisateurs de SnapChat.

Snapchat1

La startup confirmait qu'il était éventuellement possible de reconstituer une base de données entre noms d'utilisateurs et numéros de téléphone mais elle soulignait aussi qu'elle avait récemment mis en place des "contre-mesures" pour l'éviter.

Cela n'a cependant pas empêché de voir émerger une telle base de données regroupant 4,6 millions de noms d'utilisateur avec leur numéro de téléphone associé (partiellement masqué) via le site SnapChatDB.info.

SnapChat fuite

L'ensemble est récupérable sous forme de base SQL ou sous forme de fichier CSV et les auteurs de cette collecte indiquent que les utilisateurs ayant tendance à utiliser le même pseudo sur l'ensemble des réseaux sociaux, il serait facile de relier aussi des comptes Facebook ou Twitter à ces numéros de téléphone.

C'est bien la faille précédemment décrite qui a été utilisée ici et les auteurs veulent montrer la légèreté dont SnapChat a fait preuve avec les données personnelles de ses utilisateurs. Et si les deux derniers chiffres des numéros de téléphone ont été masqués pour éviter l'exploitation directe des informations, la menace de leur diffusion en clair plane sur la startup.

Et sachant que nombre de mineurs utilisent abondamment le service pour s'échanger des selfies entre amis, et que leur numéro de téléphone se trouve ainsi facilement accessible, avec même la possibilité d'avoir une idée de leur localisation, SnapChat risque bien de devoir revoir en profondeur son fonctionnement avant de rencontrer de sérieux problèmes...même pour une société capable de refuser trois milliards de dollars et surtout en ces temps où la question de la sécurité des données personnelles est devenue très sensible.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1611622
Bonne année au Claoude Conpunting.
Le #1612292
Pour effectuer une recherche sur son pseudo dans la base de donnée fournie par les hackers, c'est par là : http://findmysnap.com
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]