如果你是一位Snapchat的用户,那么很遗憾地告诉你,黑客已经利用Snapchat的漏洞获取了460万个账户的用户名和电话号码。任何人都可以在SnapchatDB.info网站上以SQL数据库文件或者CSV文件转存这些用户的个人信息。
SnapchatDB.info网站的创始人声称,公开这些信息是为了提高Snapchat的安全意识,而且他们已经“删除了电话号码后两位数”以“减少垃圾邮件和不当使用”。然而,这种做法仍然有可能会影响到数百万的用户。
据检索,SnapchatDB.info网站于12月31日创建。注册人的姓名受到保护,其邮件和电话号码均来自巴拿马,不过这些注册信息的真实性有待考证。
去年12月,澳大利亚信息安全机构Gibson Security 曾发布一份报告指出,SnapChat的服务器存在两个明显的安全漏洞,黑客很容易通过这两个漏洞盗取用户的个人资料。用户的姓名、昵称以及电话号码可以通过Android和iOS和API收集。
Snapchat后来回应了这份报告:
“Snapchat 的“寻找好友”功能允许用户上传他们的地址簿联系人信息,以匹配已经利用这些联系信息进行注册的用户。用电话号码绑定Snapchat账号不是必选项,不过绑定号码会方便你的好友通过这个号码找到你。我们不会向其它人显示用户的电话号码,也不支持通过帐户名查找电话号码。
理论上,如果有人上传了一组数量庞大的电话号码,或者每一个可能的电话号码,那他就可以得到一份用户名和电话号码匹配的数据。在过去的一年中,我们采取了许多不同的安全策略,使这种方式更难以实现。最近,我们还增加了额外的应对措施,继续提高安全防护能力。”
SnapchatDB.info网站的目的显然是要促使Snapchat补救系统漏洞,这个网站的做法同时证明了Snapchat过去采取的安全措施是无效的。不过,通过泄露用户信息来提醒Snapchat的做法本身值得商榷。