Фото и видео 100 тыс. пользователей Snapchat «утекли» в сеть

B2BSecurity Маркет
Переписка пользователей Snapchat попала в сеть. Мессенджер винит в утечке сторонние приложения по загрузке фото, а эксперты видят в случившемся новый повод для беспокойства о безопасности личных данных.

Злоумышленники опубликовали в сети фото и видео из переписки более 100 тыс. пользователей известного мессенджера Snapchat. Это может тем более отпугнуть пользователей, что Snapchat всегда славился автоматическим удалением контента с серверов по истечении указанного в переписке срока. Таким образом, отправляя фотографию, сообщение или видео, пользователь мог задать время, на протяжении которого они будут доступны адресату, а затем информация просто исчезала.

В официальном заявлении об утечке данных команда Snapchat опровергла информацию о возникновении проблем на своей стороне и сослалась на приложения, через которые пользователи загружали контент в мессенджер. Компания также предупредила об опасности использования непроверенного программного обеспечения, отметив, что публичного API для разработчиков она не публикует. В качестве косвенного подтверждения версии о взломе стороннего сервиса приводится ссылка на проблемы клиента Snapsaved, который предлагал услуги сохранения отправленного через Snapchat контента.

В одном из предыдущих материалов эксперт CNews рассматривал сторонние приложения в качестве возможного инструмента защиты от экспериментов над пользователями. Однако в случае с мессенджером Snapchat сложилась противоположная ситуация.

Насколько сами разработчики обеспечивающих анонимность сервисов могут сохранять контроль над контентом аудитории? Комментирует Дмитрий Дудов, ведущий инженер Департамента информационной безопасности АМТ-ГРУП: «Насколько нам известно, Snapchat не предоставлял официальный интерфейс (API) для сторонних приложений и, более того, в соглашении пользователя явно запрещал использование сторонних клиентов — иными словами, атака и вообще создание сторонних клиентов стали возможными только благодаря реверс-инжинирингу API. Поэтому вопрос состоит в том, можно ли защититься от реверс-инжиниринга приложений и API. Безусловно, можно попытаться сделать код сложным для реверс-инжиниринга — настолько, чтобы у недостаточно упорного взломщика не хватило желания или времени его взломать: обфускация, шифрование, эксплуатация кодом недостатков в дебаггерах и дизассемблерах, использование HASP-ключей. Но полностью защититься нельзя: любая программа в итоге должна быть понятна компьютеру, чтобы тот мог ее выполнить, а человек в этом отношении — просто более медленный компьютер».

Официальный сервис может контролировать побочные продукты и таким образом заставлять их использовать свои безопасные процедуры работы с контентом, считает руководитель проектов ЗАО «СолидЛаб» Сергей Герасимов. «Но нужно понимать, что большая безопасность означает зачастую осложнение работы с приложением, а также меньшую распространенность сервиса из-за излишнего контроля со стороны альма-матер. На начальном жизненном этапе такая политика неприменима. В данном случае мы видим обычную ситуацию: сервис делается максимально удобным (и поэтому зачастую небезопасным), получает популярность, после этого страдает большое количество пользователей и только после этого разработчики начинают по-настоящему заниматься безопасностью. Это произошло не в первый и не в последний раз», — констатирует эксперт.

Популярные пользовательские приложения на практике часто становятся рабочим инструментом. Сергей Герасимов считает, что в связи с недостаточным вниманием компаний к вопросам безопасности подобные сервисы могут хранить много конфиденциальной рабочей информации.

По информации «Лаборатории Касперского», в корпоративной среде довольно часто используются облачные сервисы для хранения данных. Самое распространенное применение — это хранение сканов паспорта и других личных документов, синхронизация базы паролей, контактов, писем, создание сайтов, хранение версий исходных кодов и др. Комментирует антивирусный эксперт лаборатории Юрий Наместников: «По итогам нашего исследования, риск заражения корпоративной сети через облачное хранилище сравнительно невелик — в течение года заразиться рискует 1 из 1 тыс. корпоративных пользователей этих сервисов. Мы решили проверить, используют ли злоумышленники Dropbox, OneDrive, Yandex Disk и Google Drive для распространения вредоносного ПО, и собрали информацию из KSN об обнаруженных вредоносных элементах в облачных папках и на компьютерах пользователей наших продуктов. Мы выяснили, что такие заражения в мае 2014 г. зафиксированы у 8,7 тыс. человек. Однако в некоторых случаях даже единичное заражение компьютера в корпоративной сети может привести к значительному ущербу», — подчеркивает Юрий Наместников.

С коллегами согласен и Дмитрий Дудов: «На наш взгляд, использование именно Snapchat для работы маловероятно из-за самой сути сервиса — передачи немедленно удаляемых видео- или фото-сообщений. Однако в целом использование публичных сервисов для передачи служебной информации — остро стоящая проблема. Наши заказчики регулярно проявляют интерес к защите от утечек данных по email, мессенджерам и другим подобным каналам».