Hier, nous évoquions le cas du piratage de la base de données de Snapchat qui a eu pour conséquence d'avoir 4,6 millions de comptes utilisateurs dans la nature. L'éditeur réagit et indique qu'il va mettre à jour ses applications afin de résoudre le problème.
Snapchat répond à l'attaque à laquelle elle a dû faire face lors du réveillon du jour de l'an. Sur son blog, la société explique que sa fonctionnalité « find friends » va être modifiée au sein de ses applications pour Android et iOS. Elle ajoute aussi qu'aucune image ou vidéo n'a été dérobée au passage.
C'est cette fonctionnalité de recherche d'amis via leur numéro de mobile qui a été attaquée et qui a été ouvertement dénoncée par Gibson Security à deux reprises. La première fois en août, et avec l'ensemble des détails permettant d'obtenir les informations le 23 décembre dernier. Comme nous avons pu le voir, une partie de la base de données des utilisateurs a été mise en ligne sur ce site (qui fonctionne à nouveau) et un outil produit par deux développeurs permet même de savoir si l'on fait partie des concernés ou non.
Quoi qu'il en soit, la start-up sort de son silence et indique donc qu'elle va sortir une nouvelle version de son client qui permettra de ne plus apparaître dans la fonction de recherche d'amis et que des limitations seront mises en place afin de limiter de futurs abus. En outre, la jeune pousse demande aux experts en sécurité de revenir vers elle par email pour ce genre de problème à l'avenir. Oui mais voilà, si Gibson Security a dévoilé la méthode complète pour extraire la base de données, c'est justement parce que l'équipe de Snapchat n'a jamais tenu compte de leurs requêtes.
On peut toujours lire sur leur site leurs motivations : « Etant donné que cela fait quatre mois depuis notre dernière communication avec Snapchat, nous pensions faire un rappel sur la dernière version, pour voir si des correctifs avaient été apportés pour boucher les failles (aucune d'entre elles) [...] Nous avons alors pensé qu'il était dans l'intérêt de tout le monde que nous divulguions l'ensemble de nos recherches de ces derniers mois... »
Snapchat ne donne guère plus de détail pour l'instant quant à une date effective d'arrivée de la mise à jour corrigeant le tir sur les kiosques d'Apple et de Google. En attendant, les applications sont toujours disponibles au téléchargement. Enfin, on s'étonne tout de même qu'aucune excuse ne soit faite aux utilisateurs du service...
Commentaires (15)
#1
Excusez-nous on s’est tout fait prendre par la NSA, bah ouais les mecs, ils nous ont dit de laisser une Backdoor dedans…
" />
" />
#2
Ben voyons, bravo !
" />
" />.
Je suis en train de DL la BDD pour rigoler
#3
#4
Enfin, on s’étonne tout de même qu’aucune excuse ne soit faite aux utilisateurs du service…
C’est pas de leur faute
#5
Bon apparemment ça ne concerne pas la France, mon numéro n’est pas dans la nature… Ouf
" />
#6
Hé oui ce genre de boite c’est comme les gamins, si tu leur ne leur mets pas le nez dans leur merde ils ne réagissent pas.
Parce que bon ils ne vont pas prétendre ne pas avoir pu colmater les failles depuis 4 mois.
#7
C’est la où l’on se dit qu’investir dans une Start-up spécialisée dans les autocollants “NSA-Inside” est probablement un bon investissement…
" />
" />
Vous imaginez le nombre d’autocollants à coller…
#8
#9
#10
Non… mettre à jour leur programme… ils n’y pensent pas réellement, si ??
" />
#11
#12
En outre, la jeune pousse demande aux experts en sécurité de revenir vers elle par email pour ce genre de problème à l’avenir. Oui mais voilà, si Gibson Security a dévoilé la méthode complète pour extraire la base de données, c’est justement parce que l’équipe de Snapchat n’a jamais tenu compte de leurs requêtes.
La jeune pousse continue donc de creuser…
#13
snapchat c’est quoi ce truc ?
#14
#15
@Snapchat/blog:
We will be releasing an updated version of the Snapchat application that will allow Snapchatters to opt out of appearing in Find Friends after they have verified their phone number. We’re also improving rate limiting and other restrictions to address future attempts to abuse our service.
Z’aurait pu changer pour de l’opt-in plutôt et seulement une fois le numéro validé (enfin j’espère quand même que tant le numéro est pas validé, il devient pas public….).
Par ailleurs, dans ce genre de service, on peut dégager son numéro ou pas ?(par exemple si on récupère un nouveau numéro de tel dont le dernière prorio à oublié de supprimer son compte….)