24 декабря австралийские хакеры из компании Gibson Security опубликовали в открытом доступе информацию о недокументированных вызовах API в программе Snapchat, а также код двух эксплойтов. Все эти сведения хакеры еще в августе передали в компанию Snapchat, но «вероятно, она была слишком занята, чтобы отклонять неадекватно большие предложения о покупке со стороны Facebook и Google, чтобы ответить на наше письмо», — говорят они.
Неудивительно, что некие злоумышленники немедленно воспользовались этими эксплойтами. Прямо на Новый год открылся сайт SnapchatDB.info, на котором лежали SQL-дамп и база с информацией о 4,6 млн пользователей в формате CSV. Для каждого пользователя был указан номер телефона без двух последних цифр, имя пользователя и район проживания. На данный момент сайт не работает, но утечка информации уже произошла.
Анализ мест проживания показывает, что практически все пользователи живут в США. Кстати, из них 330 тыс. живут в Нью-Йорке. Второй по популярности город — Майами (около 215 тыс.).
Информацию собрали, осуществив запросы с телефонными номерами американских операторов связи. Поэтому в базе практически и нет иностранцев, зато есть телефонные номера 76 из 322 американских зональных кодов и случайно затесавшиеся два канадских кода. Но точно так же можно составить список и российских пользователей Snapchat или жителей любой другой страны.
Многочисленные пользователи Snapchat уже подтвердили достоверность информации в базе. Разработчики Snapchat 27 декабря заявили, что внедрили на стороне сервера некие «защитные механизмы», чтобы предотвратить запросы с миллионами телефонных номеров, но в Gibson Security считают, что после определенной модификации эксплойт все-таки работает.
Опубликованную базу можно использовать для деанонимизации не только пользователей Snapchat, но и пользователей Twitter и других сервисов, если человек зарегистрирован там с тем же ником.