Onthulling Snapchat-api maakt spamgolf waarschijnlijk

Onderzoekers hebben de werking van de interne Snapchat-api gepubliceerd. Daarmee is het onder meer mogelijk om massaal berichten naar onbekenden te sturen, waardoor het waarschijnlijk is dat spammers de onthullingen zullen misbruiken.

Dat de api van Snapchat nauwelijks beveiligd is, is al een aantal maanden bekend, maar onderzoekers hebben nu onthuld hoe de api werkt en dus kan worden misbruikt. Daartoe hebben ze besloten omdat Snapchat de onthullingen over de slechte beveiliging zou hebben genegeerd. Nu de werking van de api bekend is, kan iedereen een app maken die communiceert met de Snapchat-servers.

Er bevinden zich bovendien een aantal kwetsbaarheden in de api, die het bijvoorbeeld mogelijk maken om op grote schaal accounts te registreren. Daardoor lijkt het waarschijnlijk dat spammers hun pijlen op het platform zullen richten. Dat is een probleem waar WhatsApp-gebruikers een paar jaar geleden ook last van hadden; de api van die populaire chat-applicatie bleek eveneens nauwelijks beveiligd.

Ernstiger wellicht is dat het mogelijk blijkt om massaal informatie over accounts te verzamelen. Door een telefoonnummer naar de Snapchat-servers te sturen, wordt informatie verkregen als de gebruikersnaam en de volledige naam die bij dat telefoonnummer horen. Dat kan ook als een account als privé is ingesteld. Door accountinformatie van een groot aantal telefoonnummers op te vragen, zou een database kunnen worden opgesteld waarin telefoonnummers aan namen zijn gekoppeld. Dergelijke databases leveren op de zwarte markt veel geld op.

Gibson Security, dat de kwetsbaarheden ontdekte, heeft de informatie uit de api openbaar gemaakt uit ergernis dat Snapchat de kwetsbaarheden niet oploste, schrijft ZDnet. Volgens de onderzoekers had Snapchat de problemen met tien regels code kunnen oplossen.

Snapchat is een chatdienst die gebruikers foto's en video's laat sturen die slechts een beperkte tijd zichtbaar zijn. De app is vooral onder tieners populair. Onlangs zou Snapchat een overnamebod van drie miljard dollar door Facebook hebben afgewezen.

IT-banen

Reacties (71)

THWIT 25 december 2013 09:51

Ik neem toch aan dat er voor de makers van Snapchat genoeg tijd is om een oplossing hiervoor te bedenken? Het probleem wordt nog niet actief misbruikt, dus om nu te zeggen dat een spamgolf waarschijnlijk is.....

DutchReaper @THWIT • 25 december 2013 09:54

Snapchat heeft waarschijnlijk vanuit de onderzoekers al maanden de tijd gekregen om het probleem op te lossen, maar hebben dat nog steeds niet gedaan. Het lijkt dan alsof ze de beveiliging niet serieus nemen.

Marcelloz @DutchReaper • 25 december 2013 10:38

Tja, het is ook wat de onderzoekers 'vertellen' natuurlijk. Er zit een bedrijf achter dus wellicht wilden die $$ zien voor hun 'onderzoek'. En gooien ze het nu in de openheid als waarschuwing voor anderen, want wellicht hebben ze nog meer ijzers in het vuur.

Niet altijd uitgaan van het goede, zeker niet in de USA.

DutchReaper @Marcelloz • 25 december 2013 10:56

Je kan wel eens gelijk hebben, vooral als je de tekst op de homepage ziet:

Donate!
We're poor students, with no stable source of income

En je moet dan zelfs nog in bitcoins doneren ook nog. Dat klinkt als afpersing.

[Reactie gewijzigd door DutchReaper op 23 juli 2024 03:28]

The-Priest-NL @DutchReaper • 25 december 2013 11:46

Waar zie je dat bij https://www.grc.com of op http://gibsonsec.org/snapchat/fulldisclosure/ ?

Daarbij ze hebben die al op 27-08-2013 aangekaart http://gibsonsec.org/snapchat/

Daarnaast is gibson security al heel lang bekend van onder andere ShieldsUP!
https://www.grc.com/x/ne.dll?bh0bkyd2

Edit:
Hmm als je op gibson security zoek kom je uit bij https://www.grc.com maar dit is inderdaad niet te verwarren met http://gibsonsec.org oftewel ze leechen ook nog eens op de naam van Steve Gibson.

My bad

[Reactie gewijzigd door The-Priest-NL op 23 juli 2024 03:28]

bkor @The-Priest-NL • 26 december 2013 00:07

oftewel ze leechen ook nog eens op de naam van Steve Gibson

Helemaal niet, dat was per ongeluk (ze kwamen er pas achter toen iemand hen erop wees bij Hackers News).

tvhater @bkor • 26 december 2013 14:49

yeah sure

Cergorach

Websites en community's

@DutchReaper • 25 december 2013 13:14

Hoe stabiel was jou inkomstenbron als 'student'? Je verdiende geen moer, je job stond altijd op de tocht, etc. Dus zo vreemd is die uitspraak niet. Verder is PayPal helemaal niet zo een leuk bedrijf als je betalingen ontvangt, die kunnen zonder opgave van reden je account blokkeren en daarmee al het geld wat je daar op heb staan. BTC zorgt in veel gevallen ook voor veel lagere transactie kosten en zou een hoop meer op kunnen leveren als ze niet direct de BTC verzilveren...

]Byte[ @Cergorach • 25 december 2013 18:44

Hoe stabiel was jou inkomstenbron als 'student'?

Iedere maand StuFi... Is toch redelijk stabiel...

Je verdiende geen moer,

Daarom ben je ook STUDENT..... om te LEREN...

je job stond altijd op de tocht,

Is dat vandaag de dag anders bij 'een vaste baan'?

BTC zorgt in veel gevallen ook voor veel lagere transactie kosten

helemaal waar!

en zou een hoop meer op kunnen leveren als ze niet direct de BTC verzilveren...

Hangt er vanaf wat de koers doet!
Als iemand in de glazen bol kan kijken wat de koers de komende maand gaat doen zou een hele prestatie zijn.
Als ik de koers soms in een paar minuten met een paar honderd dollar naar beneden ziet kelderen, moet je toch wel stevig in je schoenen staan cq. het verlies kunnen accepteren.

[Reactie gewijzigd door ]Byte[ op 23 juli 2024 03:28]

invic @Marcelloz • 25 december 2013 23:45

Mee eens, er wordt vaak voor zoete kerstbroodjes aangenomen dat "witte hackers" voldoende tijd aan een bedrijf hebben gegeven om een gehackte beveilgingslek te dichten. Als zij dit niet doen wordt de hack in de openbaarheid geplubiceerd en vinden de meeste tweakers dat het de schuld van het bedrijf is om geen actie (of te late actie) te ondernemen en te oordelen zonder de exacte details te kennen. Het is opvallend om te moeten constateren dat hackers tegenwoordig de robin hood status krijgen... Voor mij zijn de meeste hackers ordinarie criminelen die voor eigen gewin of ego perfect inspelen op de angst van de mensen en hierdoor als de witte ridder wordt beschouwd...

bkor @invic • 26 december 2013 00:12

Leg eerst eens uit wat je bedoelt met hackers?

Verder gaat het hier om beveiligingsonderzoekers. Of hernoem je dat maar naar hackers omdat je dan makkelijker ze kan veroordelen? Verder is reverse engineeren legaal (binnen Europa).

Waarom je ze gelijk criminelen noemt begrijp ik niet. Ze proberen in contact te komen met het bedrijf. Bedrijf laat niks van zich horen. Je kan dan doen alsof het probleem niet bestaat, maar nogal makkelijk. Beveiligingsproblemen laten zitten is laakbaar. Je krijgt ook geen geld terug van de verzekering als iets duidelijk jouw schuld is geweest.

Zou mooi zijn om je mening wat te verduidelijken, nu is het een beetje onsamenhangend.

Origin64 @DutchReaper • 25 december 2013 19:47

Voor chatapps als snapchat of whatsapp IS beveiliging ook niet belangrijk. Wat belangrijk is is dat het een hippe interface heeft en makkelijk te gebruiken heeft. Consument kijkt niet naar de backend. Daaraan verbeteren is dus voor hen geldverspilling.

Mensen die beveiliging wel belangrijk vinden zijn NIET de doelgroep voor deze apps, want ouder dan 15.

Auteur

Joost @THWIT • 25 december 2013 09:54

Het probleem wordt nog niet actief misbruikt

Snapchat wist het al maanden en heeft niks gedaan, terwijl je in een middag een spamscript kunt schrijven.

THWIT @Joost • 25 december 2013 09:58

Tsja, dat ze er niks aan hebben gedaan is natuurlijk erg dom, maar nu dit is gepubliceerd zullen ze toch niet het risico willen lopen op een grote spamaanval? Dat zou wel veel gezichtsverlies voor het bedrijf betekenen. Desnoods kunnen ze bepaalde functionaliteit uitschakelen om bijvoorbeeld te voorkomen dat de gebruikersgegevens uitlekken

Auteur

Joost @THWIT • 25 december 2013 10:00

Tsja, dat ze er niks aan hebben gedaan is natuurlijk erg dom, maar nu dit is gepubliceerd zullen ze toch niet het risico willen lopen op een grote spamaanval? Dat zou wel veel gezichtsverlies voor het bedrijf betekenen. Desnoods kunnen ze bepaalde functionaliteit uitschakelen om bijvoorbeeld te voorkomen dat de gebruikersgegevens uitlekken

...en dan werken de apps die de huidige versie van de app gebruiken waarschijnlijk niet meer.

THWIT @Joost • 25 december 2013 10:04

Ja, en? Persoonlijk lijkt mij een paar dagen -totdat de lekken zijn gedich- geen mensen kunnen toevoegen minder erg dan dat mijn gegevens op straat liggen.

Auteur

Joost @THWIT • 25 december 2013 10:12

Ja, en? Persoonlijk lijkt mij een paar dagen -totdat de lekken zijn gedich- geen mensen kunnen toevoegen minder erg dan dat mijn gegevens op straat liggen.

Je denkt toch niet dat de Snapchat-ontwikkelaars, die al máánden weten van dit probleem, hun apps stuk gaan maken omdat ze zo ontzettend veel om privacy geven?

THWIT @Joost • 25 december 2013 10:38

Denk je dat ze liever al hun gebruikersgegevens op straat gooien zodat ze de boeken in gaan als het bedrijf dat zo weinig om zijn gebruikers gaf? Ik denk niet dat er dan nog een mooie overname voor Snapchat in zit.

DutchReaper @THWIT • 25 december 2013 11:03

Iedere dag liggen er gebruikersgegevens op straat, dus zal daarmee maar een kleine groep besluiten om snapchat niet meer te gebruiken.

Enai @THWIT • 26 december 2013 09:31

En zo zijn de lekken gedicht en is het probleem opgelost.

floorcula @Joost • 25 december 2013 10:01

Prima api documentatie, daar kan menig api aanbieder nog wat van leren :-)
Zo heb je er niet eens een middag voor nodig. Met een half uurtje ben je volgens mij klaar.

Verwijderd 25 december 2013 10:09

10 regels code? En daarom moeten misschien wel miljoenen gebruikers hun privacy verliezen? Ik vind beide partijen hier slecht bezig en Gibson Security zou aangeklaagd moeten worden samen met die snapchat lui.

Normaal gesproken ben ik er niet tegen als een bedrijf aan de kaak wordt gesteld Maar om dit vrij te geven is laakbaar. Schrijf dan zelf die 10 regels code. En geef die gratis aan de ontwikkelaar. Maar laat mensen die slachtoffer gaan worden met rust.

Dykam @Verwijderd • 25 december 2013 10:32

Het is niet dat Snapchat het niet kan schrijven (dat zou vreemd zijn), ze doen het simpelweg niet. De code aanleveren verandert dat niet. Also je het gelinkte document leest, zie je dat de vier maanden de tijd hebben gehad, en dat er niks verandert is.

Verwijderd @Dykam • 25 december 2013 12:47

Maar wil jij dan om 10 regels code je privacy verliezen en kapot gespamd worden? Er is nog een tussenweg. Dit komt nu in het nieuws. Snapchat kan alsnog aan het werk gaan en 10 regels code schrijven en het is dus voorlopig niet noodzakelijk om al die mensen te benadelen.

Je kunt de privacy van zo veel mensen niet gijzelen omdat jij als beveiliger vindt dat een softwarebedrijf naar je dient te luisteren. Dat is slaan met een stok die niet van jouw is met het excuus ze doen niet wat wij willen.

Wat ze moeten doen is mensen waarschuwen die die zooi gebruiken.

Dykam @Verwijderd • 25 december 2013 13:10

Ik geloof dat je het probleem niet helemaal zag. Deze informatie is al deels bekend voor vier maanden. Nu is het inderdaad bekend bij een groter publiek, maar het was al vier maanden bekend in bepaalde kringen, en Snapchat deed er absoluut niks aan.

Ja, het is een grof middel, maar het is misschien het enige wat werkt om een bedrijf als Snapchat aan de gang te krijgen. Om duidelijk te zijn: Het was al bekend, en Snapschat deed er absoluut niks aan.

Verwijderd @Dykam • 25 december 2013 15:15

Dat snap ik wel maar wat snap jij niet aan wat ik schreef?

Als jij ruzie hebt met je buren en je waarschuwt hen zich te gedragen want anders pak je de auto van mensen van de overkant om de gevel kapot te rijden, en je buren blijven zich misdragen, pak je dan inderdaad die auto om je buren een lesje te leren?

En wat zeg je dan tegen die mensen wiens auto je gebruikte? Sorry, het is voor ons aller bestwil?

Sorry, ik heb daar moeite mee.

Dykam @Verwijderd • 25 december 2013 15:22

Slechte vergelijking. Jouw vergelijking zou op gaan als de onderzoekers Snapchat gingen DDOS'n oid om hun punt door te krijgen.

Relevanter:
Als mijn buren huisdieren hebben, en mensen ontvoeren deze door binnen te komen via gaten in het hek, en de buren sluiten de gaten in het hek maar niet, ja, dan is een laatste middel publiek maken waar de gaten zitten. In de hoop dat de buren dan toch de gaten dichtgooien.

[Reactie gewijzigd door Dykam op 23 juli 2024 03:28]

beantherio @Dykam • 26 december 2013 01:06

Relevanter:
Als mijn buren huisdieren hebben, en mensen ontvoeren deze door binnen te komen via gaten in het hek, en de buren sluiten de gaten in het hek maar niet, ja, dan is een laatste middel publiek maken waar de gaten zitten. In de hoop dat de buren dan toch de gaten dichtgooien.

Om je verhaal aan te vullen: het is in dit geval natuurlijk niet puur het "publiek maken" van een gat in een hek, maar dit gat ook onder de aandacht brengen bij criminelen zodat deze het huis leeg kunnen halen.

Dykam @beantherio • 26 december 2013 01:55

Het probleem is echter dat dit al in criminele kringen rondhing. Dat gaat vrij snel. Hoewel het nu natuurlijk veel bekender is bij criminelen, werd het (aldus de onderzoekers) al misbruikt, en SnapChat deed er niks aan.

THA_ErAsEr @Verwijderd • 25 december 2013 18:34

Er is een security flaw, criminelen kennen deze flaw en gebruiken dit. Snapchat lostte dit maanden niet op.

Nu weten meer criminelen het misschien, maar nu weten ook alle gebruikers het. De gebruikers kunnen zich nu verdedigen tegen deze criminelen, daarvoor niet.

Verwijderd @THA_ErAsEr • 25 december 2013 21:58

Hoe weten de gebruikers het dan? Krijgen ze allemaal persoonlijk een email of andere berichtvorm?

Als ze dat niet vernemen staat je hele argument op losse schroeven. Een ding weet ik wel zeker,. criminele volgen ALLES wat in hun voordeel kan zijn, burgers die een chat app gebruiken niet.

bkor @Verwijderd • 26 december 2013 00:15

Vendar: Daarom informeren de beveilingsonderzoekers het bedrijf ook. Pas 4 maanden later maken ze het publiekelijk. Verder hoe het publiek het weet: Tweakers.net, Webwereld, nu.nl, etc.

Nogal jammer om beveiligingsonderzoekers criminelen te noemen. Geef eens argumenten waarom het criminelen zijn? En dan iets meer dan "het is zo omdat ik dat vind".

Verwijderd @bkor • 26 december 2013 14:40

Ik heb al genoeg argumenten gegeven. EN je snapt het niet of je wilt het niet snappen.

Ik snap de procedure wel die Gibson volgt, dat hoef je niet eindeloos te herhalen. Je ontwijkt mijn argument, dat niemand van de potentiële slachtoffers gemaild gaat worden en dat niemand hen dus om toestemming vraagt om risico te lopen. Men doet gewoon maar.

Het hele argument dat Gibson geen keuze heeft omdat die lui niet meewerken door 10 regels code toe te voegen is hierbij onderuit getrapt omdat Gibson de risico's vergroot ten koste van onwetende mensen die in vertrouwen een api gebruiken, met als doel juist hen te beschermen. Double think.

Logisch redeneren is niet sterk aanwezig in de moderne wereld.

THA_ErAsEr @Verwijderd • 26 december 2013 07:58

Weet je, vertel JIJ eens wat zij hadden moeten doen? Buiten dan gratis jouw app op beveiligingsproblemen onderzoeken... Ik hoor het graag.

Verwijderd @THA_ErAsEr • 26 december 2013 14:43

Wat Gibson dient te doen is naar een rechter stappen met het bewijs dat de api maker verwijtbare nonachalance aan de dag legt en hun gebruikers naait door risico's niet aan te pakken.

Daarnaast kan Gibson ook proberen een bericht te sturen naar elke gebruiker als waarschuwing. Dan kunnen gebruikers hun account opzeggen of stoppen met het gebruik er van of andere maatregelen nemen.

Laten we niet naïef zijn. Elke keer als een beveiligingsbedrijf in het nieuws komt met een schandaaltje, is dat goed voor hun bedrijfsresultaat. Zij doen dit om winstoogmerk, niet om de belangen van gebruikers te beschermen. Dat is mooi meegenomen, terwijl ze aan de andere kant harteloos en genadeloos die gebruikers hun risico vergroten.

THA_ErAsEr @Verwijderd • 26 december 2013 15:18

Onderzoekers die gratis werk leveren gaan duizenden $'s hebben om een rechtszaak te beginnen?

Volgens mij gaat geen enkele rechter dit als strafbaar zien. Ze zullen wel in hun terms of use / policies hebben staan dat alles je eigen verantwoordelijkheid is en dat het bedrijf geen enkele aansprakelijkheid op zich nemen.

Hoe gaat men elke gebruiker contacteren zonder het te publiceren? + onder de gebruikers zelf zitten ook kwaadwillenden.

blouweKip @Verwijderd • 25 december 2013 14:31

Je kunt de privacy van zo veel mensen niet gijzelen omdat jij als beveiliger vindt dat een softwarebedrijf naar je dient te luisteren.

Het probleem was al ruimschoots bekend, snapchat heeft dat willens en wetens genegeerd, er wordt niemand gegijzeld omdat het probleem al bekend is.
De boosdoener is snapchat, die hebben schijnbaar weinig interesse om de privacy en data van hun gebruikers te beschermen: daar mag je boos over zijn.

DannyXP1600 @Verwijderd • 25 december 2013 11:42

Als Gibson Security het heeft ontdekt, dan zijn er vast ook anderen die het hebben ontdekt en, zonder iets te zeggen, alle telefoonnummers via de API aan namen kunnen koppelen en daarmee illegaal geld hebben verdiend aan de verkoop van deze gegevens.
Maar omdat nu Gibson Security het bekend maakt moeten zij aangeklaagd worden? Terwijl het misschien de enige manier blijkt te zijn dat Snapchat eindelijk die beveiliging beter maakt, nadat ze er al maanden niks aan doen...

Verwijderd @DannyXP1600 • 25 december 2013 15:24

Ik vind proportionaliteit een belangrijk beginsel. Moeten potentieel miljoenen, tenminste honderdduizenden gebruikers als stok gebruikt worden om een slecht bedrijf mee te slaan? Laat Gibson zelf een stok bedenken. Bijvoorbeeld aangifte doen en daar reclame voor te maken.
Of laat ze hackers inzetten om dat bedrijf te ruïneren Oh wacht...dat is illegaal...maar ik mag wel als munitie dienen voor Gibson?

Dit is een verwrongen moraal die wordt toegepast door de meesten hier. Als het gaat om oorlog en twee legers vechten en er vallen burgerslachtoffers, dan zouden jullie niet zo snel klaar staan met het oordeel dat dat een te accepteren verlies is. Op dezelfde manier zei Madeleine Albright onder Clinton dat het een acceptabel verlies was dat in Irak door sancties honderdduizenden kinderen stierven door ziekte door gebrek aan medicatie.

Het is allemaal wel erg makkelijk, totdat je eigen kind sterft, of je je eigen privacy kwijt raakt en de volgende 12o jaar jouw gegevens circuleren in het criminele circuit.

En als dat soort nonsens nu werkte... maar nee. Dat doet het niet. Elke week hebben we hier een bericht over een bedrijf dat schijt heeft en te laks om 10 regels code toe te voegen. Over een week heb jij weer hetzelfde excuus, allemaal moeten we lijden om de wereld te verbeteren!

Ik vind het bekend maken van zaken prima, maar als onschuldige mensen slachtoffer gaan worden doordat je elke hacker en crimineel als katten op spek bindt dan ben je immoreel bezig. En ja, dat er al van alles bekend was dat zal best, maar dat is hoe dan ook onvermijdelijk. Maar dat je de boel opschaalt zodat elke slimme crimineel denkt toch even zijn kans te grijpen is onverantwoord. Vooral omdat privacy komt met stapjes en gaat met de HSL.

Obelink @Verwijderd • 25 december 2013 21:06

Precies wat ik ook vind. Een gezond verstand reactie van jou en ik snap ook niet waarom die met 0 gewaardeerd moeten worden.

Het bedrijf kan nog zo dom zijn en nog ze slecht beveiligd, dit legaliseert niet dat de deur dan maar opengezet moet worden voor criminelen. Wie zo denkt en handeld is zelf crimineel.

bkor @Obelink • 26 december 2013 00:22

Het bedrijf kan nog zo dom zijn en nog ze slecht beveiligd, dit legaliseert niet dat de deur dan maar opengezet moet worden voor criminelen. Wie zo denkt en handeld is zelf crimineel.

Dus het gebrek aan beveiliging binnen een bedrijf is het niet het probleem van het bedrijf, maar van de mensen die het kenbaar maken? Wauw! Met dezelfde reden dus aub de Voedsel en Warenautoriteit opheffen? Plus natuurlijk dat chemiebedrijf dat totaal alle veligheidsregels negeerde?

Dat je gelijk "criminelen" voor onduidelijke reden erbij haalt, tjah...

bkor @Verwijderd • 26 december 2013 00:18

Daarom gaven ze het bedrijf 4 maanden.

Je hebt zo te zien het idee dat dit probleem niet bestaat of door niemand anders gevonden is. Dat is het grote zwaktepunt in jouw argument. Kijk eens naar hoeveel applicaties er zijn die "snapchat" dingen laten opslaan. Al deze ontwikkelaars hebben de API ook uitgevogeld.

Jouw argument komt op mij neer als kop in het zand steken. Geloof dat meerderen het daarmee eens zijn en dat proberen uit te leggen aan je. Denk daarom de 0.

triflip @Verwijderd • 25 december 2013 11:09

Waarschijnlijk heeft Gibson Security dit minstens een maand van te voren gemeld bij Snapchat maar die hebben er helemaal niets aan gedaan. Het is daarom terecht dat dit openbaar is en snapchat dalijk niet meer bestaat. Je zou sowieso niet moeten willen dat je gegevens bij personen liggen die te lui zijn om 10 regels code te schrijven om de gebruikers te beschermen. Die sukkels hadden gewoon het bod van facebook moeten accepteren, vanaf vandaag is snapchat niets meer waard.

beantherio @triflip • 26 december 2013 01:11

Ik denk dat die "onderzoekers" dan ook een probleempje hebben. Met het bewust om zeep helpen van een bedrijf omdat deze niet ingaat op je poging tot afpersing loop je natuurlijk het risico om vervolgd te gaan worden. Ze hadden beter hun mond kunnen houden.

mdgf @Verwijderd • 25 december 2013 10:23

Ervanuitgaande dat snapchat ruim op voorhand van dit probleem geinformeerd werd dan kun je toch echt niet gaan zeggen dat Gibson security hier in de fout is gegaan. Dit is gewoon hun laatste optie om snapchat te dwingen het probleem op te lossen, dit was nooit nodig geweest mocht snapchat het zelf gefixt hebben.

En zeggen dat dat beveiligingsbedrijf zelf maar die lijntjes code moest schrijven is toch idioot:
1. Snapchat is niet open source (tot zover ik weet)
2. Je mag toch verwachten dat de snapchat auteurs dit zelf doen, het is immers HUN app

En hoe weet jij zo zeker dat er voor dit vrijgeven nog geen slachtoffers gemaakt waren?

Dr.SVM 25 december 2013 13:40

Ik heb de eerste spam al ontvangen. Maar nu dus privacy instellingen veranderen en geen onbekenden toevoegen moet voorlopig genoeg zijn.

Hopelijk vinden ze een oplossing!

gjmi @Dr.SVM • 25 december 2013 17:11

Dat helpt dus niet, als ik het artikel goed begrijp. Je kunt met telefoonnummers gegevens uit de database halen. Dus je probeert er een paar miljoen (bijvoorbeeld random tussen +31600000000 en +31699999999).

Je account wissen lijkt me de enige optie, er van uitgaande dat je gegevens dan ook daadwerkelijk uit de database verdwijnen.

TheNewPlayer @Dr.SVM • 25 december 2013 14:48

In welke vorm?

Dr.SVM @TheNewPlayer • 25 december 2013 22:49

In de vorm van een foto van een schaars geklede vrouw die vroeg of ik haar op kik wou toevoegen.

Marcelloz 25 december 2013 10:32

Mooie verbloemende term "Onderzoeker"... Op deze manier is iedere hacker en scriptkiddie die iets ontdekt een 'onderzoeker' . Of je hebt een bedrijf met een R&D afdeling vol met onderzoekers. En als een security bedrijf het doet zal er wel een minder nobel doel achter zitten, iets met 'geef geld anders...', als waarschuwing voor andere bedrijven. Beetje vaag dit altijd.

[Reactie gewijzigd door Marcelloz op 23 juli 2024 03:28]

bkor @Marcelloz • 26 december 2013 00:25

Je noemt iemand geen onderzoeker als ze daadwerkelijk schade aanrichten. Met hacker ("cracker") en scriptkiddie wordt gewoonlijk wel wat anders bedoeld. Personen die dus niks geven om daadwerkelijk schade aan te richten binnen systemen. Niks mis om onderzoeker te gebruiken, zolang je maar niet een scriptkiddie een onderzoeker gaat noemen.

calvinturbo 25 december 2013 13:40

Je hebt dan ook zat applicaties waarmee je Snapchat foto's kunt opslaan, misschien gebruiken zij deze API ook wel?

kamerplant @calvinturbo • 25 december 2013 16:33

Voor het maken van screenshots heb je geen API nodig ofzo

bas-r 25 december 2013 10:04

Het einde van Snapchat.
Ik denk dat de makers zichzelf nu wel voor het hoofd slaan dat ze niet op het bod van Facebook van $3 miljard zijn ingegaan, want hun bedrijf zal snel waardeloos worden.

Marcelloz @bas-r • 25 december 2013 10:36

Ach, dan verander je toch gewoon de API?

geert1 @bas-r • 25 december 2013 12:04

Of ze passen de API aan inderdaad. Ze hebben de afgelopen maanden blijkbaar getreuzeld hiermee, maar ze zullen dit vast niet zomaar allemaal laten gebeuren. Het is immers in hun eigen belang om hun product te verbeteren en in leven te blijven als bedrijf. En de inkomsten zijn er, dus hier moet wel ruimte voor zijn. Het blijft enorm stom dat ze ten eerste al zo'n open API hebben gemaakt, en deze vervolgens ook nog maanden hebben laten bestaan, dat zeker. We zullen zien hoe het loopt, maar om nu direct te schreeuwen dat de hele dienst dood is, lijkt me wat voorbarig

Lexis 25 december 2013 10:55

Dat is een probleem waar WhatsApp-gebruikers een paar jaar geleden ook last van hebben; de api van die populaire chat-applicatie bleek eveneens nauwelijks beveiligd.

Deze zin mag wel herschreven worden

Is die Whatsapp API nog steeds onveilig?
Als ik snel even Google zie ik in ieder geval wel een hoop artikelen over hoe onveilig whatsapp apps zijn, maar die artikelen zijn allemaal late 2012.

Woutske @Lexis • 25 december 2013 11:00

Men zegt daarom ook 'bleek' in het artikel, dat is dus verleden tijd

Clubbtraxx

@Woutske • 25 december 2013 15:12

Klopt, maar dat hoeft niet per se te betekenen dat het probleem wat bleek ook inmiddels daadwerkelijk is opgelost.

Lexis @Woutske • 25 december 2013 21:51

<off topic>)WhatsApp wordt aangehaald, zonder vermelding of die het nu wel hebben opgelost. Inmiddels is de tekst wel aangepast, maar het geeft geen uitsluitsel.
Ik zie berichten in Google die slechts een jaar oud zijn over lekken in de Whatsapp API. Als die problemen al 'jaren geleden' speelden, maar 1 jaar geleden nog niet opgelost waren, dan is WhatsApp ook geen snelheidsmonster met het oplossen van security issues.

Dat mag dan wel weg gemodereerd worden als irrelevant, maar ik gebruik WhatsApp, Snapchat had ik nog nooit van gehoord. En de auteur begint er over, niet ik.
</off topic>

Conclusie is wel dat al ruim 25 jaar security in de IT vaak alleen belangrijk wordt gevonden als je in de media negatieve aandacht krijgt op dit vlak.

Rebert 25 december 2013 12:07

Hallo, in de api documentatie kom ik hier en daar python code tegen, kan iemand mij uitleggen waarvoor deze gebruikt wordt? Ik ben een leek in deze tak, maar ik heb wel in men richting biochemie biotechnologie python gekregen, en had niet verwacht deze hier terug te vinden.

MarcoC @Rebert • 25 december 2013 12:10

Python is een toegankelijke scripttaal dat je overal voor kunt gebruiken. Waarom zou het alleen in biochemie en biotechnologie toegepast worden?

MarcoC @Rebert • 25 december 2013 13:14

Python is niet ontwikkeld voor biochemie of biotechnologie

supersnathan94 @MarcoC • 25 december 2013 19:01

Nee maar wel degelijk erg snel als het gaat om tekstverwerking. Analyseren van DNA translatie en Replicatie is met python veel sneller te doen als met bv java.

Sergelwd 25 december 2013 20:04

Zijn de makers nog in leven dan?? kan me voorstellen dat je na het afslaan van zo'n megabod toch niet meer met jezelf kan leven.

supersnathan94 @Verwijderd • 25 december 2013 18:59

Het aantal mobiele nummers wat op is te vragen via die gids is echter gering. Een lijst daarmee is dus wel degelijk van waarde.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (71)

Sorteer op:

Weergave: