domingo, octubre 12, 2014

The Snappening: Guardar las fotos de sexting de SnapChat en una web de terceros en beta no es muy inteligente

Tras el monumental lío que se montó con The Celebgate, ahora el lío se ha montado con The Snappening, un nuevo escándalo que recoge todos los alicientes morbosos que tanto gustan al público. Sexting, hacking y filtraciones en Internet en el popular foro /b/ de 4Chan, cuna de tantos titulares en la red. En esta ocasión, el asunto es la filtración de 15 GB material y unas 200.000 imágenes enviadas entre cuentas de Snapchat, entre las que hay de todo tipo de material y de mucha gente que no sabe que está allí.

Figura 1: Captura de fotos filtradas en The Snappening

La gracia de Snapchat es que cuando se envía un mensaje con una imagen, esta tiene un tiempo de vida durante el cual es mostrado al usuario, lo que hizo que se convirtiera en la herramienta perfecta para enviar fotos de tetas, culos, y demás instrumentos utilizados en el juego del sexting. Es decir, sitio perfecto para atraer a los amantes del material amateur robado.

Figura 2: Las fotos se supone que tienen una duración y se eliminan

Con estos alicientes, Snapchat se convirtió en objetivo de Mark Zuckerberg y llegó hasta a ofrecer 2.000 millones de dólares para comprar dicha plataforma, pero la oferta fue declinada por considerarla insuficiente. Esto llevaría después a la compra de WhatsApp - plataforma que genera también mucho interés a los amigos del espionaje amateur - por parte de Facebook, pero esa es otra historia.

Claro está, no solo atrajo la atención de usuarios, morbosos e inversores, y los investigadores de seguridad también le dedicaron su tiempo. De hecho, hubo un robo masivo de identidades que acabó publicado en Internet. Hoy en día, las cuentas que se filtraron de Snapchat están en Have I been Pwned?, donde está en quinta posición de las filtraciones en la red más importantes.

Figura 3: La filtración de Snapchat dejó 4.6 milllones de identidades expuestas

Ahora la filtración es distinta, ya que no se ha atacado directamente a los servidores de Snapchat, sino a un servicio que usa la gente para conseguir guardar las fotos que le envían con tiempo de expiración. El servicio se llama Snapchat Saved [caído actualmente] y se conecta a los servidores de Snapchat, baja la foto que se ha recibido desde cualquiera de sus contactos y se guarda en sus propios servidores. Es decir, funciona como un cliente de Snapchat para las fotos.

Figura 4: La web de Snapsaved (ahora caída) avisa que es un servicio en beta

Por supuesto, el servicio está expuesto en Internet, por lo que las fotos que se reciben en las cuentas que se han dado de alta en ese servicio también pasan a estar en Internet, y un fallo de seguridad en él, que además informa que está en beta, ha permitido que todas las fotografías allí guardadas pasen a estar en manos de todo el mundo. A día de hoy en su página Facebook han puesto una nota reconociendo que les habían hackeado por un fallo en la configuración de su servidor Apache que da soporte al sitio web. 

Figura 5: El post de Snapsaved reconociendo el hackeo por un bug en Apache

Lo peor es que el sitio pide las cuentas de Snapchat para funcionar, por lo que pueden que se hayan llevado también las identidades completas de todo el mundo, lo que haría que la cosa pudiera ir a mayores aún este escándalo. Y sobre todo, mucha gente no sabe ni que sus fotos están entre esas filtraciones, porque basta que esté dado de alta en ese servicio el destinatario de tus fotos, así que el que las envía no es consciente de eso.

Saludos Malignos!

3 comentarios:

Jose Aviles dijo...

No le veo la gracia al Sexting, pero digo yo que por los hackers, publicar fotos de forma masiva sera un aburrimiento, no le veo beneficio.

Orangután dijo...

El beneficio es simplemente demostrar que era capaz de hacerlo. Orgullo, satisfacción, reconocimiento... Te parece poco beneficio?

Anónimo dijo...

El beneficio es claramente manual.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares