‘Hackers achterhalen telefoonnummers van Snapchat-gebruikers’

Een groep hackers zou serieuze kwetsbaarheden hebben ontdekt in Snapchat, de populaire chatapplicatie die verstuurde foto’s slechts eenmaal aan de ontvanger toont. De anonieme hackers, die zichzelf Gibson Security noemen, zijn er naar eigen zeggen in geslaagd om het telefoonnummer van Snapchat-gebruikers te achterhalen. Op dezelfde manier zou ook de gebruikersnaam van gebruikers te verkrijgen zijn. De groep zegt de kwetsbaarheden in augustus al aan Snapchat te hebben gerapporteerd, maar het bedrijf heeft er tot nu toe geen actie op ondernomen.

De kwetsbaarheden zijn daarom op Tweede Kerstdag gepubliceerd. De beschreven methode is nogal technisch van aard, maar het komt erop neer dat ze de code hebben “nagebouwd” die de apps met de servers van Snapchat laat communiceren, ook wel API genoemd. Zo wisten ze de kwetsbaarheden te ontdekken. In theorie zouden ze daarmee zelfs Snapchat in zijn geheel kunnen kopiëren. Het gaat om de API’s voor zowel de iOS- als Android-applicaties.

De kwetsbaarheden maken het volgens de hackers mogelijk om een programma willekeurige telefoonnummers te laten genereren. Als een telefoonnummer gekoppeld kan worden aan een Snapchat-account is het vervolgens mogelijk om gebruikersnamen, schermnamen en privacy-instellingen te achterhalen. Daarnaast zouden kwaadwillenden eenvoudig nepaccounts kunnen aanmaken. Personen met voldoende kennis zouden met de beschreven documentatie ook foto’s kunnen opslaan, terwijl Snapchat claimt dat foto’s na eenmaal te zijn bekeken niet meer teruggehaald kunnen worden. Dit maakt het voor bijvoorbeeld stalkers of andere kwaadwillenden mogelijk om dergelijke informatie van personen te achterhalen.

Ook ontdekten de hackers dat de beweringen dat het overgrote merendeel van de Snapchat-gebruikers vrouw is niet hard gemaakt kunnen worden. Op basis van de gepubliceerde documentatie zou dit niet te achterhalen zijn, zo stelt men.

Gibson Security stelt in haar verklaring dat de beveiliging van API’s vaak vergeten wordt en dat de groep erop gericht is om te helpen de beveiliging van Snapchat verder aan te scherpen. Volgens de hackers kunnen de kwetsbaarheden “met slechts een paar regels code” worden verholpen. Eerder dit jaar werd al duidelijk dat snaps niet echt van je iPhone worden verwijderd, maar slechts worden verborgen. Hoewel dit ingewikkeld is, zou het in theorie het dus mogelijk zijn om de foto’s weer terug te halen. Snapchat heeft nog niet op de ontdekkingen gereageerd.

Update 28 december: Snapchat heeft bevestigd dat de hackersgroep documentatie over de private API heeft gepubliceerd en geeft toe dat scraping mogelijk is.

If someone were able upload a huge set of phone numbers, like every number in an area code, or every possible number in the U.S., they could create a database of the results and match usernames to phone numbers that way. Over the past year we’ve implemented various safeguards to make it more difficult to do.

Via ReadWriteWeb