4.609.621 Benutzeraccounts von Snapchat stehen online zum Download zur Verfügung. Beinhaltet sind hier die Telefonnummern sowie die Benutzernamen von Snapchat Benutzern. SnapchatDB, eine nicht offizielle Seite, die von einer unbekannten Gruppe betrieben wird, gibt euch Zugriff auf zwei Dateien – Einen SQL Auszug und eine CSV Datei – die detaillierte Informationen der Snapchat Benutzer zeigen, inklusive ihres Standortes.
[quote align=“center“ color=“#999999″]The company was too reluctant at patching the exploit until they knew it was too late and companies that we trust with our information should be more careful when dealing with it.[/quote]
– SnapchatDB
Die letzten zwei Stellen der Nummern wurden zensiert um Spam zu vermeiden
Die Person oder die Gruppe hinter SnapchatDB hat zwar die letzten beiden Stellen der Telefonnummern zensiert, damit die betroffenen Benutzer nicht unnötigen Spam von fremden Personen bekommen, jedoch ist der Schaden enorm.
SnapchatDB gibt zwar an, dass ihre veröffentlichten Daten die überwiegende Mehrheit von der Snapchat Datenbank enthält, jedoch sind diese Annahmen laut einer Studie vom Pew Research Center möglicherweise falsch.
Besitzer der frei zugänglichen Dateien haben jedoch darauf aufmerksam gemacht, dass nicht die gesamte Datenbank veröffentlicht wurde, sondern nur ein Teil. Laut den Ländercodes, befinden sich die Benutzer lediglich in Nordamerika. Insgesamt erscheinen in der Datenbank nur 76 von 322 Ländercodes der USA, desweiteren sind noch zwei Ländercodes von Kanada vorzufinden.
Snapchat spielte die Drohnung von der Veröffentlichung von Benutzerinformationen letze Woche herunter
Letzte Woche wurde bereits Snapchat von der Gibson Security über eine Sicherheitslücke in der „Finde Freunde durch Telefonnummern“ Funktion der App gefunden. Ars Technica sagt jedoch, dass dieses Problem mit ein paar Zeilen Code behoben werden könne.
Als am 24. Dezember Snapchat noch keine Lösung für den Exploit (Sicherheitslücke) hatte, hat Gibson Security Details von der Snapchat API veröffentlicht. In ihrem Beispiel zeigte die Sicherheitsfirma auch, wie leicht man 10.000 Telefonnummern in nur 7 Minuten überprüfen kann.
Snapchat gab am 27.12.2013 eine Stellungnahme auf ihrem Blog ab, in der gesagt wurde, dass theoretisch jemand einen Datensatz mit Telefonnummern veröffentlichen könne. Somit wäre es auch möglich jeder Telefonnummer den Ländercode und den Benutzernamen auf Snapchat zuzuweisen . Das Unternehmen beruhigte jedoch die User, da es bereits über das Jahr verteilt diverse Sicherungen implementiert habe, was einen „Datenklau“ schwieriger macht.
Die Gruppe hinter SnapchatDB hat uns jedoch im Interview gesagt, dass dieser Datenbankexploit noch immer exisitert und noch nicht behoben wurde.
[divider scroll_text=“Zum Anfang“]
Hack4Life: Warum wurden die Daten veröffentlicht?SnapchatDB: We value privacy and we want companies to share our values. Granted, startups have limited amount of resources but security should never be a secondary goal. User experience is highly correlated with security. Our motivation behind this release was to raise the public awareness on the issue, and also put public pressure on Snapchat to get this exploit fixed.
Die Gruppe legt wert auf Privatsphäre und möchte, dass diese auch von Unternehmen respektiert wird. Startup Projekte wie „Snapchat“ haben logischerweise am Anfang nicht viel Geld zur Verfügung, jedoch sollte es auf keinen Fall an der Sicherheit scheitern.
Zugriff auf Informationen wie diese bekommt man leider viel zu leicht, selbst nachdem Gibson Security Snapchat vor dem Exploit gewarnt hat, wurde dieser nicht geschlossen.
[quote align=“center“ color=“#999999″]The exploit still persists, and is unpatched.[/quote]
– SnapchatDB
Viele Unternehmen haben heutzutage eigene Programme für Benutzer/Entwickler/White Hat Hacker, die Schwachstellen oder Fehler im System gefunden haben und diese an das Unternehmen mitzuteilen. Bis jetzt hat Snapchat ein solches Programm nicht. Es bleibt jedoch ein Funken Hoffnung, dass Snapchat dieses in absehbarer Zeit einführen wird.
[quote align=“center“ color=“#999999″]Our advice to tech companies would be to pay more attention to privacy and security, especially if they have a large userbase and if they are holding sensitive information.[/quote]
– SnapchatDB
Die Regierungen überschreiten bereits ihre Grenzen, umso mehr müssen wir unsere Privatsphäre schützen. Vorallem Unternehmen, die eine große Datenbank mit privaten, sensiblen Daten von Benutzern haben, sollten mehr in die Sicherheit der Daten investieren. Mit dem jetzigen Stand wird uns immer mehr Privatsphäre genommen und dies macht der Bevölkerung Angst. Zudem ist dies gegen die Grundlagen der Demokratie.
[quote align=“center“ color=“#999999″]Governments are for people, people aren’t for governments.[/quote]
– SnapchatDB
Hack4Life: Ist Snapchat bereits mit euch in Kontakt getreten?
SnapchatDB: Snapchat hasn’t gotten in touch with us but many people around the world have.
Wer eine unzensierte Version der Datenbank haben möchte, braucht nur SnapchatDB kontaktieren, diese wird ihm anschließend zugeschickt. Bis jetzt haben vorallem Sicherheitsfirmen und Professoren aus der ganzen Welt Anfragen gestellt. Auch einige Anwälte und Investoren stellten eine Anfrage auf die unzensierte Version der Datenbank.
Der Webhosting Provider von SnapchatDB.info hat mittlerweile die Webseite offline genommen, um sich selbst zu schützen. Diesem wurde dabei keine Anweisung erteilt, er hat es nur aus Vorsicht getan.
Bin ich selbst betroffen?
Wenn ihr überprüfen möchtet, ob ihr von dem Datenleak betroffen seid, öffnet diese Seite und gebt euren Benutzernamen ein. Wenn nach einigen Sekunden die Meldung „All Clear“ erscheint, sind eure Daten nicht betroffen.
Aufruf an ALLE
Privatsphäre ist ein Grundrecht und sollte beibehalten werden. Snapchat ist nur einer von viele Fällen, bei dem sensible Benutzerinformationen veröffentlicht wurden. Wir bitten euch, den Artikel auf Facebook, Twitter, Google+, etc. zu teilen, damit Snapchat aufmerksam gemacht wird und durch den Druck die Sicherheitslücke schneller schließt. Informiert eure Freunde von diesem Vorfall! Denn ihr alleine könnt etwas ändern.
Verwendet hierfür bitte einfach die Social Network Buttons unter den Informationen vom Autor.