Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 50 reacties

Hackers hebben een database met naar eigen zeggen telefoongegevens van 4,6 miljoen Snapchat-gebruikers online gezet. Het was al tijden bekend dat de telefoonnummers van Snapchat-gebruikers te achterhalen waren, maar de dienst ondernam lange tijd geen actie.

De database werd online gezet via de site SnapchatDB.info. Volgens de makers van de site gaat het om gebruikersnamen en telefoonnummers van 4,6 miljoen gebruikers, die verkregen zijn via een exploit die recent gedicht is. "Het bedrijf was onwillig om het te patchen totdat ze wist dat het te laat was", aldus de hackers, die verklaren dat de publicatie bedoeld is om het publiek bewust te maken van beveiligingsrisico's.

De laatste twee cijfers van de telefoonnummers zijn onleesbaar gemaakt 'om spam en misbruik tegen te gaan', maar de hackers tonen zich bereid deze vrij te geven. Volgens hen zijn de nummers ook te relateren aan Facebook- en Twitter-accounts omdat mensen vaak dezelfde gebruikersnaam hanteren.

Snapchat werd naar verluidt al maanden geleden op de hoogte gebracht van de exploit, maar reageerde daar niet op. Op 27 december maakte de dienst alsnog bekend maatregelen genomen te hebben en Snapchat wees toen zelf al op de mogelijkheid dat een database met gebruikersnamen en telefoonnummers kon worden samengesteld. Details over de maatregelen gaf de dienst niet.

De patches kwamen nadat Gibson Security uit de doeken deed hoe de kwetsbaarheden te misbruiken waren. De beveiligingsdeskundigen claimden dat Snapchat vier maanden na het overhandigen van de details over de lekken, nog steeds geen actie ondernomen had.

Overigens lijkt het alleen om Amerikaanse en Canadese gebruikers te gaan en is er wat onduidelijkheid of de gepubliceerde telefoonnummers authentiek zijn. Sommige gebruikers geven op internet aan dat hun telefoonnummer erbij staat, terwijl anderen via Hacker News laten weten dat hun nummer niet klopt en hele gebiedsnummers lijken te ontbreken. Een redacteur van TechCrunch geeft aan dat zijn nummer in de database staat.

Snapchat DB

Moderatie-faq Wijzig weergave

Reacties (50)

Werkende link:

Admin-edit:Doe maar niet linken.

[Reactie gewijzigd door RoD op 2 januari 2014 11:20]

Volgens het beleid van tweakers, mag je geen [in]directe links plaatsen naar dit soort bestanden.
/edit
http://gathering.tweakers...message/35900211#35900211
Het is niet de bedoeling dat je zelf informatie post waarmee lezers het gat direct binnen kunnen komen en zelf de boel nalopen. Daarom is íe verwijdert.

Ook al is het een google-search, het is dan 1 google-search verwijdert en moet men zelf die search uitvoeren (verzinnen welke dus). Als je dat zelf post kan met 1 klik de boel verstiert worden. Een Amerikaanse advocaat zal dan vast iets hebben dat tweakers.net een hack 'faciliteert' als de reply blijft staan. Door een actief verwijderbeleid krijgen we dat iig nooit voor de voeten geworpen.
Sorry, is beleid van tweakers!

[Reactie gewijzigd door wica op 1 januari 2014 11:23]

Dat is dan wel een beetje jammer: juist een tweaker moet in staat zijn de veiligheidsstatus van bv relaties in te kunnen schatten. Met zo'n beleid steek je dus eigenlijk je kop in het zand - volkomen contra tweakers eigenlijk. Alleen al dit beleidsregeltje, indien bekrachtigd en gehandhaafd, is voldoende reden om zo snel mogelijk een alternatieve tweakers omgeving op te zetten.
Dat de tweakers redactie dergelijke links zelf niet plaatst is wel te begrijpen.
Dit betreft links naar het uitleg over het uitvoeren van de hack, niet de gegevens die verkregen zijn van de hack.

Daarnaast lijkt het me sterk dat een regel die bedoeld is om aanklachten te voorkomen gelijk staat aan het distruberen van een mirror van een link uit het artikel.

[Reactie gewijzigd door IMarks op 1 januari 2014 15:53]

Nee, gaag over het plaatsen van een link, waardoor je te gemakkelijk bij het betreffende bestand kan komen. Lees die thread maar.
Ik download met 3kb/s. Veel mensen aan het downloaden ? :)
Even de lijst bekeken, het lijkt hier niet om Nederlandse gebruikers, maar alleen om Amerikaanse gebruikers te gaan.
Als je toch zeker wilt zijn dat je niet in de lijst staat: http://www.snapcheck.org/ en http://robbiet.us/snapchat/, voer hier je gebruikersnaam in en check of je op de lijst staat ;)

Mirror van de lijst: *knip* (CSV-formaat) en *knip* (SQL-formaat) beiden verpakt als .bz2-archief.

Edit: http://www.reddit.com/r/n...tabase_leaked_46_million/ - Op reddit wordt ook al druk gediscussieerd over deze leak, interessante comments om eens door te lezen ;)

Admin-edit:Niet linken naar (gelekte) persoonlijke data!

[Reactie gewijzigd door Dirk op 2 januari 2014 11:52]

Als je toch zeker wilt zijn dat je niet in de lijst staat: http://www.snapcheck.org/ en http://robbiet.us/snapchat/, voer hier je gebruikersnaam in en check of je op de lijst staat ;)
Geinig, de ene zegt dat m'n gegevens niet gelekt zijn en de andere wel. Nummer wat erbij staat klopt totaal niet overigens.
Wat heeft de NSA hiermee te maken? Die zullen alles van Snapchat wellicht al in hun database hebben, maar hier gaat het om een andere groep hackers die de data publiceren, toevallig dat van Amerikanen. Had net zo goed een ander blok accountgegevens van Snapchat kunnen zijn.
Tweakers moedigt helemaal niet aan de NSA aan door te melden dat de gegevens - die NIET door Tweakers gelekt zijn en al overal op het web te vinden zijn - hier en daar online staan.

Je kan net zo goed zeggen dat jij de NSA aanmoedigt door je telefoonnummer op facebook te zetten.
Ik krijg een 503 als ik 'm probeer te downloaden. Het is maar niet te hopen dat mijn nr er bij staat.
Gelukkig zijn de laatste twee cijfers njet bekend gemaakt..
Quote: "De laatste twee cijfers van de telefoonnummers zijn onleesbaar gemaakt 'om spam en misbruik tegen te gaan', maar de hackers tonen zich bereid deze vrij te geven. [...] Overigens lijkt het alleen om Amerikaanse en Canadese gebruikers te gaan en is er wat onduidelijkheid of de gepubliceerde telefoonnummers authentiek zijn."

Sowieso moet je er niet vanuit gaan dat als de laatste 2 cijfers niet gepubliceerd zijn je veilig bent. 2 cijfers met 10 mogelijkheden elk (0-9)... 10^2 = 100 keer proberen en je hebt het volledige telefoonnummer. Daarnaast zijn de hackers bereid de laatste 2 cijfers te geven, dus tsja, echt veilig ben je niet als je Amerikaans of Canadees bent.
Ben jij Amerikaan of Canadees..?
Zo ja sta je ertussen, maar ben bang dat je een NEderlander bent die het stukje niet goed gelezen hebt
Toch netjes dat ze de laatste 2 chars hebben verborgen. En misschien hebben ze wel gelijk; misschien is het een belangrijke les voor veel mensen dat wat ze online zoal doen niet onopgemerkt blijft.

</open deur>
Slechte zaak, je kan in facebook ook iemand vinden als je zijn telefoon nummer weet.
Als overal een telefoonnummer aan zit kunnen aardig wat linken gelegd worden.
Hoppa, wie niet luisteren wil, moet maar voelen!! Alleen jammer dat de gebruikers de dupe zijn van dit soort hardlerende organisaties.
Gelukkig werden er geen foto's buitgemaakt die gelinkt konden worden aan de telefoonnummers. Waren hebben ze uberhaupt telefoonnummers nodig? Volgens mij zijn veel mensen hiervan zelfs niet bewust. Ik verkies nog altijd een gebruikersnaam en paswoord. Telefoonnummers worden ook gerecycleerd door telecomoperatoren en dan neem je dus iemand anders zijn identiteit over?
Erg kortzichtige actie omdat je hier op de langere termijn vaak de leverancier of producent niet mee hebt maar juist de gebruikers en klanten van deze diensten. Het is onnodig om de hele database te openbaren. Een selectie al dan niet gedeeltelijk en goed geanonimiseerd was ook voldoende om een punt te maken.

[Reactie gewijzigd door Bor op 2 januari 2014 08:18]

Gelukkig sta ik er niet tussen. Vind het wel vervelend voor de mensen die hier de dupe van zijn. Heb in ieder geval uit voorzorg mijn account verwijderd, ik was toch al geen actief gebruiker.
Of het verwijderen van een account voldoende is, is vaak nog maar de vraag. Je ziet veel dat al je gegevens nog in de database staan, maar dat er alleen een boolean "verwijderd" op 1 wordt gezet, wat dus niet helpt tegen een hack als deze.
Dit soort zaken moeten opgenomen worden in een Wet. Als jij aangeeft dat je account verwijdert dat het dan ook daadwerkelijk verwijdert is.
De vraag is alleen in hoeverre dat ook echt mogelijk en controleerbaar is. Als je eenmaal iets op het internet hebt gezet, kan je er in principe van uit gaan dat je het er niet meer van af krijgt.

Dingen zoals je interne netwerk die niet vanaf het internet te bereiken is even daargelaten.

Dan moge het bij een dergelijke wet misschien zo zijn dat je niet meer even 'deleted' op 1 mag zetten, maar als Snapchat je gegevens dan heeft verwijderd, wie zegt dat het bij een derde partij dan nog niet verwijderd is? Vooral bij publieke diensten zoals Twitter, waar je tweets openbaar en altijd te copy'en zijn, gaat dat gewoon simpelweg niet lukken.

Ik houd er ook niet zo van, maar ik ben toch bang dat ik het weer eens moet zeggen: denk na wat je online zet, vóór het te laat is.
De rest is waarschijnlijk de zwarte markt op... :X

Tientallen miljoenen nummers met username levert vast aardig wat op

[Reactie gewijzigd door Woutske op 1 januari 2014 21:26]

Deze DB informatie kan natuurlijk als verkoop reclame de wereld in gebracht worden om vervolgens de gehele DB te koop te zetten op de zwarte markt. Dat zou goed kunnen. ;)

Dit nieuws zorgt voor een grotere groep potentiële kopers.
Ik denk niet dat dat de zwarte markt op is gegaan. Ten eerste omdat dit white hat hackers zouden moeten zijn die alleen de druk willen verhogen zodat Snapchat eindelijk eens wat doet aan de security. Ze zijn niet uit op het zwart maken van Snapchat, dat is hun belang helemaal niet, laat staan het verkopen van de gegevens van miljoenen gebruikers.

En daar komt nog eens bij dat de scripts om deze database op te bouwen vrij op internet stonden. Neem van mij maar aan dat de mensen die interesse in die data hebben, dat allang binnengehaald hebben :)

Nevertheless blijft dat natuurlijk schandalig. Ik hoop dat Snapchat nou eens wakker wordt want blijkbaar zijn ze nogal hardleers. Blijkbaar hebben al die leaks niet veel uitgehaald, laat staan het gedoe rondom de security van WhatsApp (ik bedoel dat dat geen invloed heeft gehad blijkbaar op andere startups, voor ik gedownmod wordt omdat mensen het verband niet inzien :P).

[Reactie gewijzigd door robbietjuh op 2 januari 2014 01:06]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True