写于 2018-11-03 08:08:01| ag亚游集团平台| ag亚游集团官网是多少

Snapchat,一个允许人们发送在十秒内消失的照片和视频消息的社交网络,结束了2013年新年前夜的结束,SnapchatDB,一个自称“独立安全研究人员和技术爱好者”的匿名集体

发布了一个包含4600万Snapchat用户和他们的电话号码的数据库泄漏,这是一个特别令人尴尬的违规行为,一家公司的形象部分基于隐私的承诺,被广泛报道为“黑客”但Snapchat的数据库并未被盗窃SnapchatDB仅被问及为了获取信息,Snapchat的服务器给了他们这个问题始于8月下旬,当时来自澳大利亚的三名安全研究人员称为Gibson Security - 不隶属于SnapchatDB--发布了“Snapchat安全咨询”,通过逆向工程Snapchat的Android应用程序,吉布森想出了如何与公司的服务器交谈,并在咨询小组的详细部分Snapchat的秘密应用程序编程接口或API,描述一个软件如何与另一个API通信的规范有时是开放的,这意味着它的描述是公开的,并且任何人都可以编写程序与其进行交互,在合理的范围内

包括Snapchat在内的API是私有的,仅供公司自己的应用程序使用逆向工程Snapchat的API违反了公司的服务条款,但Gibson Security没有找到有效的安全措施来阻止它们他们的建议也揭示了一些安全性漏洞,注意到,虽然图片和视频都是加密的,但解密密钥对每个人来说都是一样的(想象一下,每个保管箱被锁定的银行,但只有一个密钥)这样可以让任何能够获得数据或Snapchat本身 - 解密,查看和可能替换消息另一个问题是吉布森后来称之为“find_fr” iends exploit“像许多社交网络应用程序一样,Snapchat鼓励其用户注册他们的电话号码并允许应用程序扫描他们的联系人列表以找到已加入的朋友,一个名为Find Friends的功能Gibson Security发现,使用API ,他们可以将电话号码发送到Snapchat的服务器,如果一个号码与一个注册到Snapchat帐户的号码匹配 - 公共或私人 - 服务器发送用户名作为响应另外,Snapchat没有减少可以同时检查的电话号码的数量; Gibson写道,在一次测试中,它能够一次查询“超过75,000个数字,获得数千个活跃Snapchat帐户的回复”,Gibson总结道,“使用容易找到的移动号码范围,可能会得到用户名和每个人在美国使用Snapchat(附加电话号码)的电话号码在很短的时间内“Gibson声称Snapchat没有回应其报告几个月后,在圣诞节前夕,Gibson发布了该公告的更新版本,名为“Snapchat完全披露”提供了更多关于Snapchat内部API的完整文档,并且更加关注查找朋友的潜在利用三天后,Snapchat终于通过在其博客上发布一条关于“关于a的指控”的简短,模糊的说明公开回应可能的攻击,可以编译Snapchat用户名和电话号码的数据库“它称为吉布森描述的攻击”理论“但它不是,给Gibson的测试成功他们的方法是一种众所周知的技术,用于收集大型用户信息数据库:攻击者发现一个高流量的网站或服务,允许他通过电话号码搜索用户,然后编写一个运行的脚本通过每个可能的数字组合 - 每个美国地区代码中只有不到800万个潜在数字 - 并且保存那些作为匹配返回的数字

此外,当Snapchat发布其帖子时,Gibson Security透露的信息已经为黑客,安全研究人员和通用编程社区轻松访问Snapchat API已经过编码,并提供多种流行的编程语言,可以轻松编写可以登录Snapchat的程序,检查消息(或“快照”,如同他们在应用程序中被调用,并下载它们,或创建和发送新的快照,就像官方应用程序SnapchatDB不满意Snapchat的公共响应Ë 通过Bitmessage,一种加密消息服务,一名成员解释说,对于“通过淡化情况的严重程度来回应”感到沮丧

此外,该成员声称,该漏洞“仍然可以通过非常小的修改来实现”所以,12月31日, SnapchatDB发布了Snapchat用户名和电话号码的数据库,“每个号码的最后两位数字被编辑为”我们意识到泄漏的信息不太理想,“SnapchatDB成员表示他解释说,他选择编辑最后两位数字以使数据的合法性更加明显尽管如此,该组织认为它“足以为账户所有者提供[a]合理数量的隐私”(Gibson Security说他们做了不容忍违规行为)我们对数据集的分析显示,泄露的电话号码来自美国的3222个区号中的76个虽然匿名电话号码在黑市上可能只占一小部分,但这些数字比大多数人更有价值,因为它们属于特定人群:主要是年轻的智能手机用户,其中大多数居住在主要城市地区超过百分之九十二的受访记录来自以大城市为中心的三十四个区号,包括洛杉矶,纽约,芝加哥,湾区和迈阿密

值得一提的是,Snapchat的故乡洛杉矶受灾最严重;该数据库包含来自洛杉矶地区的近百万用户的用户名和号码几天后,在接受Carson Daly关于泄漏的采访时,Snapchat的首席执行官埃文·斯皮格尔提出了一个微弱的问题:“我相信当时我们我认为我们已经做了足够的“保护用户数据”,他说Spiegel因没有道歉而受到嘲笑,他表达的信心似乎一无所知

例如,Snapchat并不是第一家成为这种基本无担保攻击的科技公司数据:今年夏天有数千个号码从Facebook上删除,一个自称为Goatse Security的群体在2010年收集了超过十万个AT&T iPad帐户的信息至少,SnapchatDB成员建议,Snapchat应该减少数量可以立即制作的请求,防止对其用户进行大规模索引但是,更有问题的是,正如该成员所写,“寻找朋友是一个具有不可避免的固有缺陷的特征”对于se根据原始电话号码,Snapchat将电话号码存储为加密生成的字符blob,称为“哈希”,但会员注意到,电话号码“保证是数字且在一定长度内”,使它们成为可能该会员说,今天,在泄密九天之后,Snapchat在一篇名为“寻找朋友改进”的博文中正式为此问题道歉,其中说:“我们对任何问题感到抱歉”这个问题可能对您造成了影响,我们非常感谢您的耐心和支持“它注意到两项安全方面的改进:该应用会更明确地允许用户拒绝将其电话号码与其用户名相关联,并且需要新用户才能验证其电话号码使用查找朋友,使利用漏洞更加困难帖子总结道:“我们的团队继续改进Snapchat服务,以防止未来滥用我们的API”Whi对于受影响的用户来说,这可能是一种冷酷的享受,Snapchat的API的启示确实为公司的核心提供了一个迷人的外观

该应用程序的主要卖点是短暂的;发送快照有点像邮寄自毁明信片但有趣的是,这个短暂的内容并没有内置到API中;应用程序本身就是删除图片和视频的一方面,这意味着,一方面,使用API​​创建自己的Snapchat应用程序的编码人员可以秘密地保留另一个用户的快照,并将其喜欢的任何内容发送给图片或视频另一方面它为Snapchat社交网络的新创意用途打开了大门已经有至少一个Snapchat机器人,“snpbot”,由程序员和互联网玩具制造商Darius Kazemi创建,它从Archiveorg的公共领域集合中提取经典动画的短片

并将它们发送给它的Snapchat朋友它令人惊讶地令人愉快,但不稳定,因为Snapchat的使用条款明确禁止使用机器人或“其他自动化手段或界面“根据福布斯的估计,拥有五千万用户的Snapchat显然需要做出选择,无论是关于它想成为什么样的公司以及它希望创建什么样的平台,Twitter早期生态系统蓬勃发展的主要原因之一是API的开放性以及公司与开发人员的友好关系,后者用它来构建第三方客户端,工具和数据实验Snapchat,在新的社交网络中独一无二,产生了类似的关注和用户感情,但它通过继续变得迟钝和冷漠而浪费它的风险尽管在大规模数据泄露之后它似乎违反直觉,但现在通过审计和修复其私有API的未解决的安全问题以及创建官员,Snapchat现在可以做的最好的事情变得更加开放一个用户和外部程序员进行试验和评论这可能要求公司将短暂性从一个核心功能降级到一些客户的便利性但是在这个过程中,Snapchat可能会变得更大 - 更永久 - 而不仅仅是另一个消息传递应用程序Rusty Foster是一位住在缅因州的作家和程序员他在今天的Tabs中总结了互联网Ben Jackson是一位位于布鲁克林的应用程序开发人员他曾为纽约时报和Longform的照片工作过J Emilio Flores /纽约时报/ Redux

作者:是牦