शोधकर्ताओं ने स्नैपचैट कोड प्रकाशित किया है जो शोषण के खुलासे को नजरअंदाज करने के बाद फोन नंबर मिलान की अनुमति देता है

हैकर्स ने यह सुनिश्चित कर लिया है कि लोकप्रिय फोटो शेयरिंग ऐप स्नैपचैट को क्रिसमस के लिए कोयले की भरपूर मात्रा मिले।

इसकी सुरक्षा का खुलासा होने के बाद इसे नजरअंदाज कर दिया जाता है अगस्त से, गिब्सन सिक्योरिटी के पास है स्नैपचैट के पहले से अप्रलेखित डेवलपर हुक (एपीआई) और दो कारनामों के लिए कोड प्रकाशित किया जो बड़े पैमाने पर फोन नंबरों को नामों से मिलाने और बड़े पैमाने पर फर्जी खाते बनाने की अनुमति देता है।

ऑस्ट्रेलियाई हैकर्स ने स्नैपचैट के एपीआई और दो कारनामों के प्रकाशन की घोषणा की GibSec ट्विटर अकाउंट पर क्रिसमस की पूर्वसंध्या पर - जो समय के अंतर के अनुसार ऑस्ट्रेलिया में क्रिसमस दिवस है।

अब कोई भी स्नैपचैट के एपीआई का सटीक क्लोन बना सकता है और लोकप्रिय ऐप के कथित 8 मिलियन उपयोगकर्ताओं का पीछा कर सकता है।

स्नैपचैट एक लोकप्रिय एंड्रॉइड और आईओएस एप्लिकेशन है, खासकर युवा उपयोगकर्ताओं के बीच - और यौन सामग्री साझा करने के लिए इसकी अवांछित प्रतिष्ठा है। ऐप उपयोगकर्ताओं को फ़ोटो, वीडियो या संदेशों का आदान-प्रदान करने की अनुमति देता है, जिसे खोलने के बाद स्नैपचैट 10 सेकंड या उससे कम समय में गायब हो जाता है।

Google Play वर्तमान में सूचीबद्ध करता है स्नैपचैट एंड्रॉइड ऐप जैसा कि 10 मिलियन से 50 मिलियन बार इंस्टॉल किया गया है। जून में, स्नैपचैट ने उठाया $800 मिलियन के मूल्यांकन के साथ वीसी फंडिंग में $60 मिलियन से अधिक.

स्नैपचैट के नाम, उपनाम और फोन नंबर को स्नैपचैट एंड्रॉइड और आईओएस एपीआई के माध्यम से खोजा और प्राप्त किया जा सकता है - भले ही उपयोगकर्ता का खाता निजी हो।

गिब्सन सिक्योरिटी ने ZDNet को ईमेल के माध्यम से बताया कि मेटाडेटा का उपयोग अन्य एपीआई के साथ मिलकर "उपयोगकर्ताओं के बारे में स्वचालित रूप से प्रोफाइल बनाने के लिए किया जा सकता है, जिसे बहुत सारे पैसे में बेचा जा सकता है।"

उन्होंने आगे कहा: "लोग ssndob.cc जैसी सेवा संचालित कर सकते हैं (देखें)। यहाँ), जहां आप कुछ डॉलर का भुगतान कर सकते हैं और किसी व्यक्ति का फ़ोन नंबर और सोशल मीडिया प्रोफ़ाइल, केवल उनके उपयोगकर्ता नाम से प्राप्त कर सकते हैं।" 

उन्होंने कहा, इसका इस्तेमाल लक्षित घोटाले के लिए भी किया जा सकता है, लेकिन पीछा करने के लिए भी, जिसे उन्होंने अपनी "सबसे बड़ी चिंता" बताया।

"आप मिनटों में किसी का फोन नंबर ढूंढ सकते हैं, बशर्ते आपको पता हो कि वे किस क्षेत्र में रहते हैं।" 

Snapchat फेसबुक द्वारा इसे 3 अरब डॉलर में खरीदने के प्रस्ताव को ठुकरा दिया नवंबर में, उपयोगकर्ता प्रोफ़ाइल डेटाबेस को बेचने के मूल्य के बारे में गिब्सन सिक्योरिटी के बयान को रेखांकित किया गया।

'मित्र खोजें' शोषण और 'बल्क पंजीकरण' शोषण

आज गिब्सन सिक्योरिटी के ड्रॉप के अंत में प्रकाशित कोड पूरी तरह कार्यात्मक है।

हैकर्स ने ZDNet को पहली स्क्रिप्ट बताई, जिसे के नाम से जाना जाता है "find_friends" शोषण, फ़ोन नंबरों की एक सूची लेता है, जिसे उत्पन्न करने के लिए स्क्रिप्ट बनाई जा सकती है, और "उस सीमा में नंबर वाले किसी भी व्यक्ति का स्नैपचैट उपयोगकर्ता नाम प्राप्त करता है।"

अब प्रकाशित "फाइंड फ्रेंड्स एक्सप्लॉइट" के साथ एक दुर्भावनापूर्ण इकाई स्नैपचैट एपीआई का उपयोग लिखने के लिए कर सकती है स्वचालित प्रोग्राम जो उपयोगकर्ताओं के लिए स्नैपचैट डेटाबेस को विस्तृत रूप से खोजने के लिए फ़ोन नंबर उत्पन्न करता है। यह उन्हें किसी व्यक्ति के फ़ोन नंबर और उनके स्नैपचैट खाते के बीच "1:1" लिंक प्राप्त करने की अनुमति देता है।

"... शोषण का उपयोग हजारों खाते बनाने के लिए किया जा सकता है, जिनका उपयोग स्पैम के लिए किया जा सकता है।" - गिब्सन सिक्योरिटी

जब फोन नंबर स्नैपचैट उपयोगकर्ता के रिकॉर्ड से मेल खाता है, तो दुर्भावनापूर्ण इकाई को एक रिकॉर्ड मिलेगा जिसमें उपयोगकर्ता नाम, संबंधित डिस्प्ले नाम और खाता निजी है या नहीं।

थोक पंजीकरण शोषणफाइंड फ्रेंड्स एक्सप्लॉइट की तरह, यह कम से कम चार महीने से एक ज्ञात मुद्दा रहा है लेकिन अब आधिकारिक तौर पर प्रकाशित हुआ है।

गिब्सन सिक्योरिटी ने समझाया: "बड़े पैमाने पर पंजीकरण का उपयोग हजारों खाते बनाने के लिए किया जा सकता है, जिसका उपयोग उपरोक्त प्रक्रिया को तेज करने के लिए, या संभवतः स्पैम के लिए किया जा सकता है।"

उन्होंने अगस्त में सुरक्षा फर्म द्वारा खोजी गई जानकारी के साथ उपयोगकर्ता की गोपनीयता और सुरक्षा के खतरों पर भी जोर दिया।

उन्होंने कहा, "उपयोग का मामला जहां एक दुष्ट पक्ष किसी का पीछा करना चाहता है, उसके लिए पर्याप्त जानकारी के साथ दोपहर में घरेलू कंप्यूटर पर स्क्रैपिंग की जा सकती है।" "तो हाँ, यह बहुत बुरा है।"

"कोड की दस पंक्तियों के साथ" ठीक किया जा सकता था

स्नैपचैट को इस सुरक्षा मुद्दे के बारे में तब से पता चला है जब गिब्सन सिक्योरिटी ने कंपनी को अगस्त में सूचित किया था। स्टैनफोर्ड स्टार्टअप द्वारा कोई प्रतिक्रिया या कार्रवाई नहीं किए जाने के बाद उन्होंने उसी महीने एक सुरक्षा सलाह प्रकाशित की।

ईमेल पत्राचार में, उन्होंने बताया कि सुरक्षा छेद को कोड की दस पंक्तियों के साथ ठीक किया जा सकता था:

"[स्नैपचैट दर सीमित करके इसे ठीक कर सकता था]; स्नैपचैट किसी की गति को सीमित कर सकता है, लेकिन जब तक वे इस सुविधा को दोबारा नहीं लिखते, तब तक वे असुरक्षित हैं। उनके पास चार महीने हैं, अगर वे उस समय में कोड की दस पंक्तियों को फिर से नहीं लिख सकते हैं तो उन्हें अपनी विकास टीम को निकाल देना चाहिए। यदि वे सर्वोत्तम प्रथाओं का पालन करते और सुरक्षा पर ध्यान केंद्रित करते (जो कि ऐप के उपयोग के मामलों को देखते हुए उन्हें होना चाहिए) तो यह शोषण सामने नहीं आता।"

हैकर्स ने अगस्त में स्नैपचैट के ऐप्पल आईओएस और एंड्रॉइड एपीआई को रिवर्स-इंजीनियर किया, जिससे सुरक्षा खामियों का खुलासा हुआ जो स्नैपचैट और उसके उपयोगकर्ताओं पर इस प्रकार के दुर्भावनापूर्ण हमले की अनुमति दे सकता है।

स्नैपचैट ने हैकर्स को कंपनी को सूचित करने पर या उसके बाद से किसी भी समय कोई जवाब नहीं दिया।

हैकर्स: स्नैपचैट ने 'प्रेस, निवेशकों से झूठ बोला'

गिब्सन सुरक्षा इसकी क्रिस्मस रिलीज़ में कहा गया है उनके पास इस बात के सबूत हैं कि स्नैपचैट के मार्केटिंग दावे सच नहीं हैं।

हैकरों का कहना है कि स्नैपचैट और उसके निवेशकों के पास बहुसंख्यक महिला उपयोगकर्ता आधार होने का दावा किसी भी तरह से सच नहीं हो सकता है।

उन्होंने बताया कि अगर स्नैपचैट को नील्सन जैसे एनालिटिक्स प्रदाता से वह जानकारी नहीं मिली, तो "किसी भी तरह से वे इस जानकारी को प्राप्त नहीं कर सकते।"

उसने जोड़ा:

इस लिंक क्या पंजीकरण के दौरान स्नैपचैट क्लाइंट द्वारा भेजा गया संदेश है (हमारे द्वारा प्रलेखित), क्या आपको लिंग का कोई उल्लेख दिखाई देता है? पूरे प्रोटोकॉल में हमें लिंग से जुड़ा कुछ भी नजर नहीं आया, इसलिए कह रहे हैं स्नैपचैट के 70 प्रतिशत उपयोगकर्ता महिलाएं हैं इसका कोई भी मतलब नहीं है।

दरअसल, भले ही गिब्सन सिक्योरिटी का बयान सही हो, अब ऐसा प्रतीत होता है कि जिसने भी रिवर्स-इंजीनियरिंग की है स्नैपचैट का एपीआई सैकड़ों नहीं तो दसियों की संख्या में झूठे खातों को पंजीकृत करने के लिए एक स्क्रिप्ट लिख सकता था हजारों. यह जानना असंभव है कि स्नैपचैट के कितने प्रतिशत खाते वैध हैं।

हैकर्स सुरक्षा शोधकर्ताओं की अनदेखी से स्नैपचैट को "थका" रहे हैं

जब ZDNet ने गिब्सन सिक्योरिटी से पूछा कि उन्होंने एक्सप्लॉइट स्क्रिप्ट के लिए एपीआई और कोड प्रकाशित करना क्यों चुना, तो गिब्सन ने इस कदम को उचित ठहराया और दावा किया कि रिवर्स इंजीनियरिंग प्रोजेक्ट मजेदार के रूप में शुरू हुआ। 

"हमें कई कारनामे मिले (जिनमें से कुछ जारी नहीं किए गए) और अंततः हमने उन्हें अपने प्रारंभिक प्रकटीकरण में जारी करने का निर्णय लिया (27/08/2013)," उसने कहा।

"उस दौरान स्नैपचैट से कोई प्रतिक्रिया नहीं मिलने के बाद, हमने क्रिसमस के दिन रिलीज़ करने का फैसला किया। हमने इवान स्पीगल की कंपनी भी देखी ओपन सोर्स स्नैपचैट क्लाइंट्स को गैरकानूनी टेक डाउन नोटिस भेजें, साथ ही उसके ऐप की एक बड़ी खामी को नज़रअंदाज़ करें, कि स्नैप कितनी आसानी से डिक्रिप्ट हो जाते हैं।"

फिर हम [ओपन-सोर्स सॉफ्टवेयर] समुदाय और सुरक्षा शोधकर्ताओं के प्रति स्नैपचैट के रवैये से बहुत परेशान हो गए (जिससे हमने बिल्कुल भी नहीं सुना है), उन्होंने आगे कहा, जिसके कारण रिहाई हुई।

गिब्सन सिक्योरिटी ने शोधकर्ताओं की चिंताओं को रेखांकित करते हुए एक ईमेल में "मित्र खोजें" शोषण के बारे में विस्तार से बताया।

हमारे परीक्षण (अप्रयुक्त रेंज पर) ने हमें एक गीगाबिट लाइन पर 7 मिनट में 10k फ़ोन नंबर स्कैन करने की अनुमति दी, जिसके बारे में हमारा मानना ​​है कि इसे लगभग डेढ़ मिनट में 10k स्कैन करने के लिए आसानी से सुधारा जा सकता है।

अब नीलसन ने इस साल जून में स्नैपचैट के 8 मिलियन उपयोगकर्ताओं की संख्या दर्ज की है, हमारा मानना ​​है कि आप निम्न सूत्र का उपयोग करके गीगाबिट कनेक्शन पर 20 घंटे में स्नैपचैट के संपूर्ण उपयोगकर्ता-आधार को स्कैन कर सकते हैं:

घंटे = उपयोगकर्ता_आधार / 10000 * 1.5 / 60

(ध्यान दें, यह फॉर्मूला काफी कम आंका जाएगा, क्योंकि इसके लिए प्रत्येक स्नैपचैट उपयोगकर्ता के फोन नंबर की आवश्यकता होगी लगातार होना, लेकिन 20 घंटे कुछ भी नहीं हैं, खासकर जब आप फोन के माध्यम से विशिष्ट क्षेत्रों को लक्षित कर सकते हैं श्रेणियाँ)।

सर्वर के लिए इसकी लागत केवल $10 होगी, और अधिक जोड़ने से समय में नाटकीय रूप से सुधार होगा।

$50 किसी ऐसे व्यक्ति के लिए बहुत कम निवेश है जो उपयोगकर्ता नाम (और उन्हें साझा करने वाले सोशल मीडिया प्रोफ़ाइल) लिंक करने में सक्षम होना चाहता है उपयोगकर्ता नाम) से फ़ोन नंबर तक, और यह आपको केवल 4 घंटों में डेटाबेस को स्कैन करने देगा, जिससे आपको विस्तृत जानकारी प्राप्त करने के लिए बहुत कुछ मिलेगा डेटाबेस।

सर्वर प्रदाता को आपके द्वारा भुगतान किए गए $50 से आपके पांच-गीगाबिट कनेक्शन के साथ पूरे एक महीने में, आप स्नैपचैट पर 14600000000 नंबर स्कैन कर सकते हैं।

संख्याएँ = (((730 * 60) / 1.5)*10000)* सर्वर)

(एक महीने में 730 घंटे होते हैं, हमारा परिणाम प्राप्त करने के लिए सर्वर को 5 में बदलें)

हमने प्रकाशन से पहले स्नैपचैट से सवाल पूछे, लेकिन कंपनी ने कोई जवाब नहीं दिया।