Outro dia eu falei em outro blog  sobre como o Facebook já está virando passado para a geração mais nova ( sim, eles querem se comunicar longe dos olhos dos pais, avôs etc ) mas é lógico que junto com esta migração sempre virão os problemas de segurança nos aplicativos.

Mas um dos aplicativos que é moda entre os mais jovens já teve um dos seus primeiros problemas publicados nas últimas semanas. O Snapchat teve dois exploits publicados a um tempo atrás que permitiam que se ‘roubasse’ bases de usuários do programa e até, ligar os números de telefones aos usuários ( aqui documentação completa da falha na Gibson Security ).

Uma falha que pode ser usada pelo pessoal da NSA por exemplo para mapear seus contatos, já imaginou que delícia ?

Snapchat

Há um outro exploit mas este para criação em massa de contas que vocês vão entender porque ele é importante aqui.

Outra notícia que rolou a pouco foi que o banco de dados do Snapchat vazou com dados de quase 4,6 milhões de usuários. Mesmo as contas que foram marcadas como privadas apareceram no vazamento com nome de usuário e número de telefone ( notou como a falha é bem ligada ao que eu citei mais acima ? ).

O invasores ( ou seja, quem teve a paciência de utilizar o exploit citado acima ou pelo menos ler a documentação da Gibson Security ) criaram um site chamado SnapDB para expor os dados roubados. O site ficou pouco tempo no ar mas o conteúdo pode ser encontrado em diversos lugares no mundo, pois uma vez on line, nunca mais ficará offline.

Os últimos dois dígitos de cada número de telefone vazado não foram revelados mas o grupo avisa que tem todos os dados e pode fornecer aos interessados, e, diga-se de passagem uma base deste tipo é bem valiosa para diversos tipos de ações criminosas, ou até governamentais.

A empresa, após o vazamento já se pronunciou e avisou que a falha já está em correção.

A empresa já disse que irá corrigir a falha mas pelo que ando lendo nem ela deu muita notícia do que o pessoal da Gibson Security falou.

A opção Find Friends, como eles mesmo reconhecem que foi a utilizada só deu esta linda opção aos atacantes utilizando as falhas já citadas. Uma que faz o upload de diversos números, ou seja, cria vários números e a que liga os usuários aos números.

Se um pequeno grupo de hackers conseguiu isto aí , imagine uma agência como a NSA que consegue comprar falhas que nem foram divulgadas ?

Ou seja …