Утечка Snapchat: имена пользователей и номера — 4,6 млн записей

Что произошло

Snapchat — приложение для iPhone и Android с исчезающими фото — пострадало от утечки данных. По информации The Next Web, имена пользователей и номера телефонов примерно 4,6 млн пользователей были опубликованы на сайте SnapChatDB.info. Сайт сейчас приостановлен, но CSV и SQL‑дамп уже были доступны для скачивания.

Авторы публикации утверждают, что они — «исследователи безопасности» и не имели злого умысла. Тем не менее, даже непреднамеренно опубликованные пары «имя пользователя — номер телефона» можно использовать для фишинга, спама и кражи учётных записей.

Gibson Security, австралийская компания по информационной безопасности, ранее сообщила о двух уязвимостях в Snapchat, с помощью которых злоумышленники могли собрать такие данные. Хакеры заявили, что Snapchat не отреагировал достаточно серьёзно на их уведомления и не внедрил банальную защиту вроде ограничения частоты запросов (rate limiting). Они объявили, что устроили утечку, чтобы продемонстрировать риск. В их словах, приведённых The Next Web, сказано:

Ответ Snapchat на отчёт Gibsonsec был явно недостаточным. При приватной коммуникации Snapchat проигнорировал сообщение и даже не ввёл ограничение скорости запросов. Полное раскрытие Gibsonsec теперь требует небольших модификаций. Миллионы людей доверяют Snapchat свои личные данные, и если компания не заботится о простых мерах защиты, общественность должна знать о такой безответственности.

Как проверить, пострадали ли вы

1. Найдите официальный или независимый проверочный сайт, который сравнивает ваш логин или номер телефона с опубликованными базами. Авторы утечки разместили такую проверку; сейчас есть и другие инструменты от разработчиков‑исследователей.
2. Введите только имя пользователя или номер телефона и не передавайте пароль. Надёжный сервис покажет только «вхождение/не вхождение» в слитую базу.
3. Если результат положительный, следуйте разделу «Что делать» ниже.

Примечание: по сообщениям, утечка затронула в основном отдельные регионы США. Если вы не в США, вероятность того, что ваш номер в списке, ниже, но всё равно стоит проверить.

Что делать, если ваш аккаунт в утёкшей базе

• Смените пароль в Snapchat немедленно. Используйте уникальный пароль для каждого сервиса.
• Отключите привязку номера телефона к аккаунту, если это допустимо и вы готовы к возможным ограничениям функциональности. Это затруднит поиск вашей учётной записи по номеру.
• Включите двухфакторную аутентификацию, если она доступна для вашего аккаунта.
• Проверьте настройки электронной почты и номера в аккаунте — убедитесь, что они корректны и не были изменены.
• Следите за подозрительной активностью: входы с чужих устройств, восстановление пароля, письма на почту с уведомлениями.
• Будьте осторожны с входящими SMS и звонками: злоумышленники могут пробовать SIM‑swap или фишинговые сообщения.
• При необходимости обратитесь в поддержку Snapchat и сообщите о возможной компрометации.

Важно: не вводите пароль в непроверенные сторонние сервисы. Для проверки утечки достаточно имени пользователя или номера.

Чек‑лист для разных ролей

Для обычных пользователей

• Проверить, есть ли ваш логин/номер в утечке.
• Немедленно сменить пароль.
• Включить двухфакторную аутентификацию.
• По возможности удалить или скрыть номер телефона в настройках.
• Проверить привязанные электронные адреса и сеансы устройств.
• Осторожно относиться к SMS и звонкам о проблемах с аккаунтом.

Для разработчиков и администраторов

• Внедрить ограничение частоты запросов (rate limiting) на публичные API.
• Логи и мониторинг: отслеживать массовые запросы и аномалии.
• Проводить тестирование на утечки данных и аудит прав доступа к БД.
• Шифровать чувствительные данные и минимизировать хранение личных идентификаторов.
• Подготовить план уведомления пользователей при инциденте.

Модель риска и рекомендации по смягчению

• Риск: отслеживание и нежелательные контакты (высокий) — смягчение: скрыть/удалить номер, смена настроек приватности.
• Риск: фишинг и социальная инженерия (высокий) — смягчение: повышенная бдительность, не переходить по ссылкам из непроверенных SMS/имейлов.
• Риск: взлом аккаунта через восстановление по номеру (средний) — смягчение: отключить привязку номера, включить 2FA, связаться с оператором SIM при подозрении на SIM‑swap.

Когда простой чек не поможет

• Если утёкшие данные содержат не только имя и номер, а также служебную информацию или токены доступа, простая проверка по имени может дать ложное ощущение безопасности.
• Если злоумышленник уже использовал номер для восстановления доступа, потребуется взаимодействие с поддержкой оператора связи и Snapchat.

Мини‑методология проверки утечки (быстро)

1. Скопировать имя пользователя или номер.
2. Посетить надёжный проверочный ресурс (официальные объявления, известные исследователи безопасности).
3. Ввести только имя/номер, получить результат.
4. При положительном результате — следовать шагам из раздела «Что делать».

1‑строчная глоссарий

• Rate limiting — ограничение частоты запросов, мера защиты API от массового сканирования.
• SIM‑swap — мошенническая переадресация номера на чужую SIM‑карту для перехвата SMS.

Короткое объявление для соцсетей (100–200 слов)

Snapchat пострадал от утечки: имена пользователей и номера телефонов около 4,6 млн аккаунтов были опубликованы. Сайт, где размещали данные, сейчас закрыт, но базы уже успели распространяться. Рекомендуется проверить свой логин/номер на специальных ресурсах, немедленно сменить пароль, включить двухфакторную аутентификацию и по возможности удалить номер телефона из настроек. Для разработчиков и сервисов это напоминание: простые меры, такие как ограничение частоты запросов и аудит логов, помогают предотвратить массовый сбор данных.

Источник: The Next Web

Краткое резюме

• Утекли имена пользователей и номера около 4,6 млн аккаунтов.
• Проверьте свой логин/номер даже если вы не в США.
• Смените пароль, включите 2FA и минимизируйте привязку номера.