事件跟踪:SnapChat“私照门”由第三方泄露引起

Snapchat图片是由使用了被入侵API的第三方Web APP而泄露的。目前为止,被入侵的APP发布了超过100000张的图片,增加了人们对少儿不宜信息发布的担忧。

又是4chan论坛

从Snapchat里盗取的大约13GB的照片于周四晚上被张贴到了网上,其中有一些明显是未成年的裸照,它们是用“短命(ephemeral)”的短信平台放上网的,大部分照片被放到4chan的讨论版里进行讨论。

4chan论坛在不久之前曝出了著名的好莱坞艳照门。 考虑到在这些网站上可能会出现贩卖一些少儿不宜的东西,4chan关闭了大部分的图片线程链接。但是根据在4chan里的讨论,缓存里有超过100000个用户的图片和视频。

一下是部分截图:

SnapChat:照片来自第三方

很明显这些图片不是来自Snapchat自己的网站,而是来自第三方应用程序的数据库,Snapchat用户可以在第三方的应用程序上保存图片和视频并能通过在线服务器发送出去。在官方的声明中,Snapchat的发言人说: “我们确定Snapchat的服务器从未被入侵,并且Snapchat也不是这一泄露事件的源头。在我们公司的服务条款里是明确禁止滥用API泄露用户信息这一行为,因为它损害了我们用户的安全。”

据商业内幕报道,4chan的用户可以下载这些图片并且创建一个搜索引擎,在这个搜索引擎里直接输入与图片相关名字即可搜索出来图片。http://lookup.gibsonsec.org/lookup

泄露到底是如何产生的?

这一泄漏显然是由 SnapSaved.com 造成的(已经下线好几个月了,是开发者的Facebook页面)。SnapSaved是为Snapchat建立的Web客户端,它可以使用户通过Web浏览器访问snap。但是,根据托管公司HostGator服务器上的DNS记录显示,在用户不知情下这些被认为看完即删除的照片视频仍然保存在服务器上。

Snapchat没有向第三方开发者公布它的API,但可怜的是该应用却被黑客逆向工程破解了。去年,该公司要求开发者Thomas Lackner从GitHub里删除一个他开发的名叫Snaphax的PHP库,原因是它可以使开发者访问Snapchat的API服务器,并且这一行为违反了数字千年版权法案。Lackner逆向工程了Snapchat官方Android客户端的API,使得这些代码还可在GitHub上继续使用。

基于Lackner的代码,Snapchat使用128位AES加密图像和视频——一个被硬编到客户端的共享加密密钥。用于API的密钥也同样被硬编进了客户端。

在IOS和Android系统上有一些应用程序使用逆向工程API连接Snapchat。但没有任何一个使用云存储选项或显示连接SnapSaved.com。

我们已经对Snapchat关于它的API的安全状况发表了评论,但尚未收到答复。

照片信息已在网络传播

目前此次SnapShot部分泄露信息已曝光,笔者已经看到网络上有不少好事者在下载了,FreeBuf请大家不要传播。