Il y a quelques jours, un groupe de sécurité mettait en garde le service de partage de photos SnapChat contre une vulnérabilité dans son API qui permettait d'accéder aux données des comptes des utilisateurs, avec notamment la possibilité de relier nom d'utilisateur et numéro de téléphone.
Le groupe avait en fait averti la startup depuis le mois d'août mais ne voyant pas de correction apportée, il a décidé d'évoquer son existence, avertissant du risque de création de bases de données à partir de ces informations. Il fustigeait d'ailleurs le manque de réactivité de la startup alors que la correction de cette faille n'est pas très compliquée.
Dans une réponse faite sur son blog, SnapChat rappelait que la saisie d'un numéro de téléphone dans le compte était optionnelle (mais pratique pour être identifié en tant qu'utilisateur du service) et que la fonction Find Friends uploadait le carnet d'adresses pour identifier d'autres utilisateurs de SnapChat.
La startup confirmait qu'il était éventuellement possible de reconstituer une base de données entre noms d'utilisateurs et numéros de téléphone mais elle soulignait aussi qu'elle avait récemment mis en place des "contre-mesures" pour l'éviter.
Cela n'a cependant pas empêché de voir émerger une telle base de données regroupant 4,6 millions de noms d'utilisateur avec leur numéro de téléphone associé (partiellement masqué) via le site SnapChatDB.info.
L'ensemble est récupérable sous forme de base SQL ou sous forme de fichier CSV et les auteurs de cette collecte indiquent que les utilisateurs ayant tendance à utiliser le même pseudo sur l'ensemble des réseaux sociaux, il serait facile de relier aussi des comptes Facebook ou Twitter à ces numéros de téléphone.
C'est bien la faille précédemment décrite qui a été utilisée ici et les auteurs veulent montrer la légèreté dont SnapChat a fait preuve avec les données personnelles de ses utilisateurs. Et si les deux derniers chiffres des numéros de téléphone ont été masqués pour éviter l'exploitation directe des informations, la menace de leur diffusion en clair plane sur la startup.
Et sachant que nombre de mineurs utilisent abondamment le service pour s'échanger des selfies entre amis, et que leur numéro de téléphone se trouve ainsi facilement accessible, avec même la possibilité d'avoir une idée de leur localisation, SnapChat risque bien de devoir revoir en profondeur son fonctionnement avant de rencontrer de sérieux problèmes...même pour une société capable de refuser trois milliards de dollars et surtout en ces temps où la question de la sécurité des données personnelles est devenue très sensible.
