Snapchat: 4,6 Millionen Nutzerdaten dank Sicherheitslücke frei im Netz

Frank Ritter 5

Snapchat hat Probleme. Wer den Instant Messenger mit Nachrichten-Selbstzerstörungsfunktion nutzt, muss aktuell darum fürchten, dass sein Nickname und, viel schlimmer, die eigene Handynummer durch dunkle Kanäle des Netzes kursieren. Mindestens 4,6 Millionen Datensätze von Snapchat-Nutzern sind über ein inoffizielles API des in der App integrierten Freundefinders an die Öffentlichkeit gelangt.

Snapchat: 4,6 Millionen Nutzerdaten dank Sicherheitslücke frei im Netz

Snapchat ist eines der großen mobilen Phänomene des vergangenen Jahres. Nutzer des Dienstes können sich Wegwerfnachrichten verschicken, die sich nach 10 Sekunden automatisch und unwiderbringlich selbst löschen – in den Breitenmedien genießt Snapchat daher den Ruf, der Kanal der Wahl für das Verschicken von privaten Nackedeifotos zu sein.

Gerüchten zufolge habe Snapchat jüngst ein Übernahmeangebot in Höhe von 3 Milliarden Dollar von Facebook erhalten – und abgelehnt. Eine Entscheidung, die die Betreiber angesichts aktueller Ereignisse gewiss bereuen: Snapchat wurden Daten gestohlen, und zwar im großen Stil. Mindestens 4,6 Millionen Datensätze, die Handynummern und zugehörige Nutzernamen von Snpachattern enthielten, sind im Netz gelandet.

snapchat-db-screenshot

An den Weihnachtsfeiertagen gab die Sicherheitsfirma Gibson Security bekannt, dass man mithilfe eines nicht dokumentierten APIs Telefonnummern bei Snapchat mit Benutzernamen abgleichen könne. Snapchat nutzt das API, um neuen Nutzern Freunde vorzuschlagen, die bereits Snapchat nutzen. Die Schnittstelle anzuzapfen sei so problemlos möglich, dass man US-Handynummern, die nach einem recht transparenten System aufgebaut sind, sehr einfach per Bruteforce-Verfahren darauf überprüfen könnte, ob es einen korrespondierenden Snapchat-Account gibt – bis zu 5.000 mögliche Nummern pro Minute seien überprüfbar gewesen. Naheliegende Sicherheitsmaßnahmen, etwa die Anzahl der möglichen API-Zugriffe pro Nutzer in einem kurzen Zeitraum einzugrenzen, wurden seitens Snapchat nicht ergriffen.

Gibson Security hatte Snapchat kontaktiert – mit dem einzigen Ergebnis, das Snapchat in einem Blogpost abwiegelte und sinngemäß erklärte: Alles ist gut, die Gefahr nur theoretisch vorhanden. Die Sicherheitsfirma entschied sich daraufhin für Full Disclosure, also eine komplette Veröffentlichung aller Erkenntnisse, ohne Zurückhalten kritischer Informationen zur Ausnutzung der Sicherheitslücke.

Im Ergebnis landeten innerhalb von kürzester Zeit Nutzerdaten im Netz. Auf der mittlerweile nicht mehr erreichbaren Seite SnapchatDB.info etwa waren über 4,6 Millionen Nutzeraccounts gelistet, mitsamt der zugehörigen Handynummer, die lediglich durch Weglassung der letzten beiden Stellen anonymisiert waren. Die Macher der Seite, die eigenen Angaben zufolge den Mechanismus von Gibson Security verfeinert, aber nichts mit den Forschern zu tun hätten, betonten gegenüber The Verge, dass man damit die Wahrnehmung der Öffentlichkeit für dieses Sicherheitsproblem schärfen wolle. Hätte Snapchat adäquat auf die Kommunikationsversuche der Sicherheitsforscher reagiert, wäre es nicht zu diesem Leak gekommen. Auch wenn Snapchat nun kleine Hindernisse eingebaut habe, würde die Möglichkeit nach wie vor bestehen, die Daten über das API abzugreifen.

Unterm Strich sind wir derselben Auffassung: Auch wenn so viele Nutzerdaten frei zur Verfügung zu stellen ein reichlich drastischer Schritt ist, muss man in bedenken, dass moralisch weniger standfeste Hacker die Daten ebenfalls entwendet haben könnten, wahrscheinlich sogar haben. Es ist ein unangenehmer Gedanke, dass sich die eigene Handynummer in Datensätzen befindet, die auf dem Schwarzmarkt gehandelt werden. Der eigentliche Skandal ist aber nicht die Veröffentlichung der Daten, sondern das Herunterspielen der Sicherheitslücke durch Snapchat.

Snapchat
Entwickler: Snap Inc
Preis: Kostenlos

Quellen: Snapchat, Gibson Security [via The Verge (2)]

Screenshot: The Drum

Zu den Kommentaren

Kommentare zu dieser News

* Werbung