Утечка Snapchat: 4,6 млн имён пользователей и номеров телефонов

Что произошло

Сообщается, что на сайте SnapChatDB.info были опубликованы имена пользователей и номера телефонов приблизительно 4,6 млн пользователей Snapchat. Сайт сейчас приостановлен. Злоумышленники утверждали, что действовали «в научных целях» и хотели продемонстрировать уязвимость, однако данные были доступны для скачивания в формате CSV и SQL — это делает возможным их дальнейшее использование в фишинге, спаме и других злоумышленных действиях.

Gibson Security, австралийская исследовательская команда по безопасности, ранее описала два эксплойта, с помощью которых можно было получить такие данные. Хакеры заявили, что Snapchat не отреагировал на частное предупреждение и не ввёл элементарные меры, например ограничение частоты запросов (rate limiting). Они привели следующее объяснение:

Ответ Snapchat на уведомление от Gibsonsec был недостаточным. При приватном уведомлении Snapchat проигнорировал сообщение и даже не внедрил ограничение частоты запросов. Полное раскрытие Gibsonsec больше не работает как есть. Но оно всё ещё работает с очень незначительными поправками. Миллионы людей доверяют Snapchat свои личные данные, и если Snapchat не заботится о внедрении простейших мер, общественность должна знать, насколько это безответственно.

Как проверить, затронуты ли вы

• Несколько разработчиков запустили публичные сервисы для проверки, содержится ли ваш username или связанный с ним номер телефона в утечке. Рекомендуется пользоваться такими сайтами с осторожностью: проверяйте репутацию сервиса и не вводите дополнительные личные данные.
• По сообщениям, утечка в основном затронула определённые регионы США; если вы за пределами США, вероятность быть в списке ниже, но всё равно стоит проверить.

Важно: не вводите пароль на незнакомых сайтах. Лучше проверять только имя пользователя или номер телефона.

Что делать, если ваши данные в списке

1. Смените пароль Snapchat и любые пароли, повторно использующиеся на других сервисах.
2. Включите двухфакторную аутентификацию (2FA) везде, где это возможно.
3. Ограничьте видимость номера телефона: в настройках приватности Snapchat отключите обнаружение по номеру телефона и запретите привязку по номеру, если это допускается.
4. Будьте внимательны к SMS-фишингу и звонкам: злоумышленники могут использовать телефонные номера для социальных атак.
5. Проверяйте активность аккаунта и список подключённых устройств.

Техническое объяснение (кратко)

Gibson Security описала два вектора, которые позволяли массово собирать соответствие «имя пользователя ↔ номер телефона». Одной из ключевых проблем было отсутствие или недостаточная настройка ограничений на частоту запросов к API, что позволяло автоматизировать поиск связанных записей.

Когда ограничение частоты запросов отсутствует, злоумышленник может перебрать тысячи или миллионы комбинаций и собрать соответствия, затем выгрузить их в CSV/SQL.

Когда проверка или защита может не сработать

• Альтернативные источники данных: даже если ваш аккаунт не в этой конкретной утечке, ваш номер мог быть скомпрометирован в другой утечке.
• Ложные совпадения: автоматические проверки иногда дают ложные срабатывания, особенно если база очищена или содержит дубликаты.
• Если вы использовали временный/виртуальный номер или скрытую почту, риск снижается, но не исчезает.

Альтернативные подходы к защите

• Вместо привязки аккаунта к основному номеру телефона — используйте отдельный номер для регистрации (виртуальная SIM, сервисы приёма SMS с осторожностью).
• Привяжите аккаунт к электронной почте с отдельным почтовым ящиком, который вы используете только для регистраций.
• Используйте менеджер паролей и уникальные сильные пароли для каждого сервиса.

Практические чеклисты по ролям

Пользователь — быстрый чек:

• Сменить пароль Snapchat.
• Включить 2FA.
• Проверить настройки приватности: скрыть номер телефона.
• Не отвечать на подозрительные SMS/звонки.

Разработчик мобильного приложения / администратор:

• Внедрить rate limiting и защиту от брутфорса.
• Логировать и мониторить подозрительную активность API.
• Проводить регулярные тесты на утечку данных и пентесты.

Специалист по безопасности / CISO:

• Оценить риск утечки PII (Personal Identifiable Information).
• Обновить план инцидент-менеджмента и уведомления пострадавших.
• Подготовить коммуникацию для клиентов с инструкциями по самообслуживанию.

Безопасная модель принятия решений (ментальная модель)

Думайте в терминах «Разграничение — Минимизация — Детекция».

• Разграничение: кто может запросить данные и почему?
• Минимизация: храните только необходимые поля (минимум PII).
• Детекция: настроьте метрики и оповещения на аномалии в API.

Конфиденциальность и соответствие (GDPR и похожие правила)

Если вы находитесь в юрисдикции с законами о защите данных (GDPR, CCPA и др.), компании обязаны уведомлять пользователей и регуляторов о серьёзных утечках в установленные сроки. Пострадавшим следует спросить у сервиса: какие именно поля утекли, и какие меры приняты для смягчения ущерба.

Однострочный словарь

• PII — персональные идентифицируемые данные, например имя и номер телефона.
• Rate limiting — ограничение частоты запросов к API для предотвращения автоматизированных атак.

Итог и рекомендации

• Проверьте, не оказались ли ваши данные в этой утечке.
• Смените пароли, включите 2FA и ограничьте видимость номера телефона.
• Если вы управляете сервисом — внедрите rate limiting, мониторинг и регулярные проверки безопасности.

Источник: The Next Web

Важно: не вводите пароли или другие конфиденциальные данные на непроверенных сайтах при проверке утечки.