The Vergeによると、460万人を超えるSnapchatフォトメッセンジャーユーザーの電話番号とユーザー名がパブリックドメインに投稿されています。 特別に立ち上げられたSnapchatDB Webサイト(公開時にサイトは開かれていません)で、2つのファイルが公開されました-SQLダンプとCSVテキスト-数字とユーザー名、およびユーザーの地理的位置を含みます。
サイトの作者は、「スパムと悪用を最小限に抑える」ために数字の最後の2桁を隠しましたが、同時に、セキュリティ研究者または弁護士に渡すことができるデータベースのフルバージョンでアクセスできると言っています。
SnapchatDBの代表者によると、公開された情報はSnapchatユーザーの大部分をカバーしていますが、Snapchatユーザーベースの推定値(米国では2,600万人)はこれが完全に真実ではないことを示唆しています。 公開されたデータを調べた人は、データベースが完全ではなかったことも報告しました。 Redditユーザーは、電話コードで判断すると、影響を受けるすべてのユーザーは北米にいて、データベースには米国の都市の322コードとカナダの2つのコードのうち76のみが存在すると書いています。
8月に、Gibson Security調査チームは、Snapchatアプリの「電話番号で友達を探す」機能にセキュリティバグを発見しました。 出版物Ars Technicaによると 、このエラーは「数行のコードで」修正できます。 Snapchatが応答しなかった後、Gibson Securityは12月24日にプライベートAPIアプリケーションをリリースし、誰でもわずか7分で10,000の電話番号を確認できる方法を示しました。
これに対して、Snapchat は 12月27日のブログ投稿で、理論上、誰かが膨大な数の電話番号をアップロードした場合、「たとえば、市外局番内の各番号または米国内のすべての可能な番号」を書いた場合、ユーザー名と電話番号。 しかし、同社は、「これをより困難にするために、年間を通じて一連の保護対策を導入した」と述べた。
SnapchatDBチームによると、彼らは修正版のGibson Securityエクスプロイトを使用しました。
SnapchatはGibsonsecのメールに返信することでこのリークを簡単に回避できましたが、しませんでした。 Snapchatが長い間リークした後でも、ユーザーデータの安全性を確保するために必要な対策を講じていませんでした。 大規模なデータの収集を開始するとすぐに、彼らは小さな障害を導入することを決めましたが、十分ではありませんでした。 現在でも、この脆弱性は継続しており、さらに多くのデータを取得することが可能です。