January 3, 2014

460万人の情報流出を招いたスナップチャットのお粗末:SnapChat Breach Exposes Weak Security


Visit NBCNews.com for breaking news, world news, and news about the economy


SnapChat CEO seems outrageous on NBC's Today, but he is in no position to criticize the young hackers who posted 4.6 million of SnapChat users' names and their phone numbers with last 2 digits reducted here on New Years Eve, because the company had been warned about the vulnerability months before.

Some say, 'our names and phone numbers are semi-public anyway. Why is it a huge deal?'  As Troy Hunt points out, a lot of us recycle the same username for multiple web services and the combination of username and phone number makes social hacking easy.  We live in a post phonebook era...

利用者460万人のユーザーネームと下2桁を除く電話番号がウェブに盛大に漏洩した件で、SnapChat CEOが今朝TVに初出演して怒りを露わにした。が、この脆弱性についてはGibson Securityというセキュリティに詳しい学生3人組が去年8月の段階で通報して改善協力を申し出ていたのに同社は無視していたようだ。

何ひとつ改善されないので業を煮やしたGibson Secが、クリスマスイブにハック手法の全容を公開するとSnapChatは「Finding Friends with Phone Numbers(電話番号で友だち探し)」というワケのわからないタイトルのブログ記事を1本ぺらっと流し、こう初めて回答した。

SnapChatにはよくセキュリティの専門家からバグや脆弱性の通報が入ります。責任ある情報公開を実践するプロの協力には感謝し、おおむね友好な協力関係を維持しています。

今週はクリスマスイブに、あるセキュリティグループが当社の非公開APIのドキュメンテーションを公開しました。攻撃すればSnapchatのユーザーネームと電話番号のデータベース構築も可能だと書いています。

当社の「Find Friends(友だち検索)」は、ユーザーがアドレス帳をSnapchatにアップロードすれば、そのアドレス帳にある電話番号に合致するSnapchatterが探せる機能。Snapchatのアカウントに電話番号を追加するかどうかはユーザーの任意ですが、番号があればそれで友だちは探せます。電話番号は他のユーザーには見えませんし、ユーザーネームで電話番号は探せない仕様になっています。

理論上は、膨大な数の電話番号…例えばある市外局番の電話番号すべて、米国内の電話番号すべて…をアップロードできれば、それにヒットする電話番号と対応するユーザーネームでデータベースは作れます。それをしづらくする安全対策はこの先1年で各種導入していく予定です。先日も追加の対策を講じたばかりですが、今後もスパム・悪用への対策は続けていきます。

Happy Snapping!

すると「理論上は」というか現実に可能なことを証明するかのように、別のハッカーたちが電話番号とユーザーネームのデータベースを公開した、というわけだ。SnapChatはアップロードに上限を設けると言っている。

「ユーザーネームと電話番号漏れて何が問題なの?」と思うかもしれないが、ウェブのユーザーネームは複数のサービスで使い回している人が多いので、1つわかると他のサービスと繋げて個人情報がだいぶわかってしまう。また嘘のアプデ情報を携帯に流してログイン情報を盗んだりもできるので、やっぱり電話帳時代と違って今は怖い。

甘く見てたんじゃないかと問われるとCEOは、「あの対応で十分だと思ったんですけどね、たはは」と笑って受け流し、「謝罪の言葉もないんか!」と二度呆れられている。


0 comments:

Post a Comment