Les numéros de téléphone en plus des noms d'utilisateurs de plus de 4,6 millions utilisateurs Snapchat ont été mis en ligne par des hackers, quelques jours après qu'un groupe de recherche sur la sécurité dévoile une vulnérabilité dans le service de partage social. L'utilisation de cette faille a permis à des attaquants de faire correspondre numéros de téléphone et comptes Snapchat.

« Cette base de données  (baptisée SnapchatDB) contient l'identifiant et le numéro de téléphone d'une grande majorité des utilisateurs Snapchat », a indiqué un post sur le site SnapchatDB.info. Le compte a depuis été suspendu, apparemment par le service d'hébergement. Une version mise en cache du site peut être consultée ici. Selon le post, Snapchat a tout simplement trop trainé pour patcher une faille qui lui avait pourtant été remontée.

Des numéros encore tronqués
 
Les hackers ont indiqué qu'ils avaient - pour le moment - « censuré » les deux derniers chiffres des numéros de téléphone afin de limiter le spam et les abus, mais ils ont demandé aux utilisateurs démasqués d'entrer en contact avec eux afin de communiquer sous certaines conditions leurs informations. La société Gibson Security a publié la semaine dernière un proof of concept exploitant plusieurs failles dans l'API « Find friends » de Snapchat permettant de parcourir et de faire correspondre les numéros de téléphone des utilisateurs. En août dernier, Gibson Security avait révélé ces vulnérabilités parmi d'autres.

«Théoriquement, si quelqu'un est en mesure de télécharger un vaste ensemble de numéros de téléphone, comme chaque numéro a un code de zone, ou tout nombre possible aux États-Unis, ils pourraient créer une base de données et faire correspondre des noms d'utilisateurs à ces numéros de téléphone », avait répondu la semaine dernière Snapchat. « Au cours de la dernière année, nous avons mis en place diverses mesures de protection pour rendre ce travail plus difficile à faire », ont-ils ajouté. « Nous avons récemment ajouté des contre-mesures supplémentaires et nous continuons à apporter des améliorations pour lutter contre le spam et les abus ».

Les utilisateurs sont trop confiants sur le web

Après la publication de la base de données SnapchatDB avec les informations sur les utilisateurs, Gibson Security a simplement déclaré dans un message Twitter qu'ils ne savaient rien de SnapchatDB, mais que ce n'était qu'une question de temps avant que quelque chose comme cela arrive ». Et même après des corrections mineures, la faille est toujours exploitable selon la société.

« Les gens ont tendance à utiliser le même nom d'utilisateur sur le web, ainsi vous pouvez utiliser cette information pour trouver des informations comme le numéro de téléphone associé avec les comptes Facebook et Twitter, et de cette façon trouver très simplement les numéros de téléphone des personnes avec lesquels vous souhaitez entrer en contact », selon le post sur SnapchatDB.info. La porte ouverte à tous les harcelements...