Snapchat hævder i kølvandet på fredagens 13 GB store læk af omkring 200.000 billeder, at det ikke er deres servere, der har været angrebet. Det skriver Wired.
»Vi kan bekræfte at Snapchats servere ikke har været tilgået, og at vi ikke er kilden til denne lækage. Snapchatters er angiveligt blevet ofre (for lækagen, red.), fordi de har anvendt tredjeparts apps til at sende og modtage snaps, en praksis vi udtrykkeligt forbyder i vores anvendelsesvilkår, fordi de kompromitterer vores brugeres sikkerhed,« siger en talsmand for Snapchat til Wired.
Mange af de lækkede billeder er angiveligt af helt unge teenagere, der sender snaps af sig selv i mere eller mindre afklædt tilstand. Ifølge det norske dagbladet.no stammer mange af billederne fra Norge og Danmark.
Men Snapchat har ikke ryggen fri, selvom lækagen muligvis kommer fra en anden server end deres egen. Eksperter har nemlig advaret mod sårbar sikkerhed hos Snapchat længe inden fredagens læk.
Sikkerhedsforsker Adam Caudill har flere gange siden 2012 advaret Snapchat om deres svage API (Application Programming Interface). Første gang lykkedes det ham at deaktivere den tidsfunktion, der automatisk sletter billeder og video i den snap, der er sendt ud til vennerne. Den automatiske slettefunktion er bærende i Snapchat-konceptet, fordi man dermed ikke behøver at frygte, at indholdet i de snaps, man sender, kommer i forkerte hænder. Hvis en modtager mod forventning gemmer et screendump af snappen, får man automatisk en besked.
Men den sikkerhed kan man ikke forlene sig på, siger Caudill.
»Den gennemsnitlige udvikler kan inden for en dags tid bygge noget, der interagerer med Snapchats API og gemmer alt, hvad der kommer igennem [af billeder og video, red.],« advarede Caudill allerede i 2012 og tilføjede dengang, at det overraskede ham, at det ikke var sket noget før.
Snapchat reagerede dengang på Caudills henvendelse og rettede i API’en. Dog ikke mere end at Caudill få måneder senere atter en gang kunne vise, hvordan man fik fat i billederne på samme vis.
»Snapchat bliver nødt til at hyre en ekstern sikkerhedskonsulent til at gennemgå deres systemer for at identificere fejl som dem, jeg har udpeget, og komme med nogle rigtige løsninger på problemet,« sagde han efter gentagelsen.
Tre andre udviklere kom til samme konklusion, uafhængigt af hinanden.
En af dem formåede inden for et par timer at bearbejde API-koden til en funktion, der automatisk gemmer alle Snapchats, han modtager.
Går man på Android Google Play og iOS App Store, er der flere forskellige apps, der lader dig gemme de snapchat-beskeder, du har modtaget, blandt andet Snapcrack og Snapbox, skriver Wired.
Dagbladet BT har tidligere bragt en guide til, hvordan du finder ud af, om dine snaps er blevet lækket. Du kan læse den her.
Leave a Reply