Le site The Verge a contacté le groupe, ou l'individu qui prétend être à l'origine du piratage de la base de données des utilisateurs de l'application de messagerie SnapChat au lendemain de la publication d'une base de données correspondant à plus de 4,6 millions de comptes utilisateur.
Les auteurs du piratage et de la publication des données subtilisées indiquent ainsi " Notre but, avec cette publication, est d'attirer l'attention du public sur la faille découverte, mais surtout de mettre la pression publique sur SnapChat afin que la société corrige la faille. " "La sécurité devrait compter autant que l'expérience utilisateur."
L'équipe de pirate affirme ainsi avoir laissé suffisamment de temps à SnapChat pour corriger sa faille, la société aurait été avertie, mais rien n'aurait été fait pour régler le problème. La pratique est courante dans le milieu de la sécurité, les "White Hat" sont ainsi des hackers qui repèrent des failles et en informent les sociétés de développement afin de renforcer leur sécurité.
Concernant Snapchat, la publication de la base de données est intervenue une semaine après avoir été dévoilée sur le blog de sécurité de Gibson Security. La société indiquait alors le risque potentiellement élevé de la faille découverte.
L'équipe à l'origine du piratage aurait ainsi décidé d'accélérer les choses : " Nous avons utilisé une version modifiée de la méthode décrite par Gibson Security." " Snapchat aurait très facilement pu éviter la divulgation d'informations confidentielles en répondant à Gibson Security, mais ils ne l'ont pas fait. Plusieurs jours après la révélation de la méthode et du risque, Snapchat ne souhaitait pas prendre les mesures nécessaires visant à sécuriser ses données. Dès que nous avons commencé à récolter les données, ils ont installé des obstacles mineurs, qui étaient loin de se révéler suffisants. Aujourd'hui encore, l'exploit est toujours en place. Il est toujours possible de récolter des données à grande échelle."
Actuellement, SnapchatDB.info , le site qui propose l'accès à la base de données piratée n'est plus accessible. Non pas à cause d'une action en justice, mais parce que l'hébergeur n'est pas en mesure d'encaisser le trafic généré par l'intérêt de l'affaire.
SnapChatDB indique ne pas être en relation avec Gibson Security, mais avoir seulement exploité la faille que le cabinet a mise en avant sur son blog. Si les deux derniers chiffres des numéros de téléphone de la base de données sont masqués, SnapChatDB invite quiconque à les contacter pour accéder à la version non censurée de la DB. Le site indique que beaucoup de personnes se montrent intéressées par cette base de données non censurée : " Des chercheurs en sécurité du monde entier, des professeurs de différentes universités, enquêteurs privés et avocats..."
De son côté, SnapChat n'aurait pas encore contacté SnapChatDB ni commenté la fuite en question.
