Un fallo de seguridad descubierto el 25 de diciembre, permitió a un grupo de atacantes vulnerar la base de datos de Snapchat y exponer información sensible de usuarios como nombres, usuarios, números telefónicos, entre otros.
Snapchat es un programa de mensajería instantánea que permite enviar fotos y videos a uno o más amigos. Solo tenemos que tomar una foto o hacer un video para compartir los contenidos en Internet. Antes de enviarlo tenemos la posibilidad de agregar texto también. Además, es posible agregar filtros y efectos a nuestras imágenes. Una vez listo el mensaje, podremos definir el tiempo del mensaje para su borrado automático. Se diferencia de otras aplicaciones de mensajería instantánea por tener un tiempo de duración definido para los mensajes. Cuando las fotos o videos que se enviaron a una o más personas alcanzan su duración límite, estas imágenes se borran de manera automática de sus teléfonos. Estudios recientes revelan que actualmente, por medio de esta aplicación se envían 700 millones de imágenes por día.
El pasado 25 de diciembre un grupo de investigadores de la firma Gibson Research, proveniente de Australia, publicó detalles de una falla de seguridad en Snapchat que permitía descargar gran cantidad de información de una forma bastante fácil, según el informe. A raíz de este fallo, los ciberdelincuentes habían creado la página web SnapchatDB, desde donde es posible descargar los datos de 4,6 millones de usuarios comprometidos, en formato de base de datos SQL y archivo de texto CSV pero con los dos últimos dígitos del teléfono censurados. Sin embargo, los atacantes no descartan ofrecer los datos al mejor postor, incluso publicar los datos nuevamente pero completos. El 1° de enero de por la mañana, el sitio ya había sido suspendido, sin embargo es de esperarse que ahora los usuarios querrán saber que va a pasar con su información.
Esta falla de seguridad permite a los atacantes usar la aplicación de Snapchat para acceder a gran parte de la información de los usuarios comprometidos. El robo de esta base de datos con información confidencial de usuarios se produjo apenas una semana después de que Snapchat se refiera a la falla descubierta por la firma Gibson Security en agosto del año pasado. Según los investigadores de Gibson Security, esta falla podría haberse solucionado con solo 10 líneas de código.
El viernes pasado, 27 de diciembre, la aplicación minimizó la potencial filtración de los números telefónicos de sus usuarios como producto de un ataque a la funcionalidad que incorpora la aplicación para encontrar contactos. En una publicación en su blog, Snapchat afirma que había tomado medidas de seguridad para frenar ese riesgo.
Los atacantes, de acuerdo a The Verge, filtraron los datos de los usuarios para que tomen conciencia de la gravedad del problema y, a su vez, para que la empresa desarrolladora de la aplicación tome las medidas necesarias para corregir la falla.
Evan Spiegel, CEO de Snapchat, habló públicamente sobre la falla e hizo una reflexión sobre mirar siempre hacia adelante. Pese a que a que lanzaron una nueva actualización que permite desactivar la funcionalidad buscar amigos, que era por donde se producía la explotación del fallo, los usuarios esperaban una disculpa que nunca llegó por parte del CEO de la compañía.
En el blog de Snapchat, desde el día jueves 2 de enero de 2014, ha sido publicada la dirección de mail security@snapchat.com, para que todo aquel que descubra vulnerabilidades en la aplicación, puedan ponerse en contacto y resolverlas.
Desde el Laboratorio de Investigación de ESET Latinoamérica recomendamos estar atentos a las actualizaciones que se publiquen desde Snapchat. Por el momento, los desarrolladores que pudieron acceder a la página, crearon snapcheck, una herramienta para comprobar si nuestro usuario o número de teléfono fue comprometido en este robo de información, advirtiéndonos si nuestra información fue expuesta. Sin embargo, recomendamos mucha cautela también al usar este tipo de servicio para no terminar siendo víctima de delincuentes que aprovechen la oportunidad y terminen robando números de teléfono.