Mit Apps wie Snapchat ist chatten überall möglich

Hacker veröffentlichen Millionen Handynummern von Snapchat-Usern

Vier Monate ist es her, dass Gibson Security auf ein Sicherheitsleck der Smartphone-App Snapchat hinwies. Vier Monate, in denen die Unternehmensgründer Evan Spiegel und Bobby Murphy das Problem erst ignorierten und dann herunterspielten. Mit dem Jahreswechsel folgte der Knall: Eine Hackergruppe nutzte die von Gibson Security offenbarte Schwachstelle und stellte auf der website  snapchatdb.info unzählige Nutzerdaten online. Inzwischen ist die website zwar nicht mehr erreichbar, doch bis dato konnten Nutzernamen und nur geringfügig verschlüsselte Telefonnummern von 4,6 Millionen Usern abgerufen werden.

Eine Gruppe von Studenten und Sicherheitsexperten, die gemeinsam bei Gibson Security arbeiten, hatte das Sicherheitsleck bereits im August 2013 öffentlich gemacht. Die Snapchat-Unternehmensführung ignorierte die Warnungen so lang, bis Gibson Security am 25. Dezember eine ausführliche Dokumentation der Sicherheitslücke veröffentlichten. Darauf reagierte das Startup mit einem Blogeintrag am 27. Dezember, in dem das Problem heruntergespielt wird. Die Warnung der Sicherheitsexperten wird als “theoretisch möglich”, aber in der Praxis schwer umsetzbar heruntergespielt.

Nur wenige Tage später tritt das Szenario dennoch ein. Was von Gibson Security als Warnung gedacht war, machten sich Hacker zunutze. Diese Praxis, in Fachkreisen responsible disclosure genannt, wird vom Branchenportal zdnet.com mit Verweis auf den Snapchat-Hack als gescheitert erklärt.

Zwar stufen Sicherheitsexperten den Hack als nicht besonders verheerend ein, da keine Kreditkarteninformationen oder ähnlich sensible Daten veröffentlicht wurden. Immerhin: Wer seine Telefonnummer unauthorisiert im Internet wiederfindet, ist über die Folgen sicherlich nicht erfreut.  Sensibel ist die Veröffentlichung der Nutzerdaten deshalb, weil viele Internetnutzer denselben Nutzernamen auf verschiedenen Plattformen verwenden. Entsprechend einfach ist es, durch die Suche des Nutzernamens in anderen Portalen auf den Klarnamen des Users zu stoßen und so an weitere Daten zu gelangen.

Von dem Datenleck betroffen sind nach ersten Erkenntnissen vor allem User aus den USA. Die Smartphone-App wird vor allem von jungen Leuten genutzt, die darüber Fotos und Kurznachrichten versenden. Das Wall Street Journal berichtet, dass im September pro Tag 350 Millionen Nachrichten über Snapchat ausgetauscht wurden. Das Besondere an dem Nachrichtendienst: Die Fotos und Nachrichten werden bereits nach kurzer Zeit wieder gelöscht. Dadurch avancierte Snapchat innerhalb kurzer Zeit zum erfolgreichen Startup mit schnellem Wachstum, das bereits  Kaufinteressenten anlockt. Ein erstes Angebot lag über drei Milliarden Dollar, wurde von den beiden Gründern aber abgelehnt. Es heißt, sie warten auf ein höheres Angebot.

Entsprechend ungelegen kommt ihnen eine Sicherheitslücke, die dem Image des Unternehmens schadet. In ihrem Blog üben sich die Gründer denn auch in Schadensbegrenzung: Im aktuellsten Blogpost heißt es, man habe auf die erste Warnung von Gibson Security im August 2013 reagiert, in dem man einige Änderungen vorgenommen habe. Snapchat wirft den Sicherheitsforschern vor, mit der Veröffentlichung ihrer ausführlichen Fehlerdokumentation den Missbrauch erst ermöglicht zu haben. Man wolle nun eine neue, sicherere Version der App veröffentlichen.

,,,,,

Vier Monate ist es her, dass Gibson Security auf ein Sicherheitsleck der Smartphone-App Snapchat hinwies. Vier Monate, in denen die Unternehmensgründer Evan Spiegel und Bobby Murphy das Problem erst ignorierten und dann herunterspielten. Mit dem Jahreswechsel folgte der Knall: Eine Hackergruppe nutzte die von Gibson Security offenbarte Schwachstelle und stellte auf der website  snapchatdb.info unzählige Nutzerdaten online. Inzwischen ist die website zwar nicht mehr erreichbar, doch bis dato konnten Nutzernamen und nur geringfügig verschlüsselte Telefonnummern von 4,6 Millionen Usern abgerufen werden.

Eine Gruppe von Studenten und Sicherheitsexperten, die gemeinsam bei Gibson Security arbeiten, hatte das Sicherheitsleck bereits im August 2013 öffentlich gemacht. Die Snapchat-Unternehmensführung ignorierte die Warnungen so lang, bis Gibson Security am 25. Dezember eine ausführliche Dokumentation der Sicherheitslücke veröffentlichten. Darauf reagierte das Startup mit einem Blogeintrag am 27. Dezember, in dem das Problem heruntergespielt wird. Die Warnung der Sicherheitsexperten wird als “theoretisch möglich”, aber in der Praxis schwer umsetzbar heruntergespielt.

Nur wenige Tage später tritt das Szenario dennoch ein. Was von Gibson Security als Warnung gedacht war, machten sich Hacker zunutze. Diese Praxis, in Fachkreisen responsible disclosure genannt, wird vom Branchenportal zdnet.com mit Verweis auf den Snapchat-Hack als gescheitert erklärt.

Zwar stufen Sicherheitsexperten den Hack als nicht besonders verheerend ein, da keine Kreditkarteninformationen oder ähnlich sensible Daten veröffentlicht wurden. Immerhin: Wer seine Telefonnummer unauthorisiert im Internet wiederfindet, ist über die Folgen sicherlich nicht erfreut.  Sensibel ist die Veröffentlichung der Nutzerdaten deshalb, weil viele Internetnutzer denselben Nutzernamen auf verschiedenen Plattformen verwenden. Entsprechend einfach ist es, durch die Suche des Nutzernamens in anderen Portalen auf den Klarnamen des Users zu stoßen und so an weitere Daten zu gelangen.

Von dem Datenleck betroffen sind nach ersten Erkenntnissen vor allem User aus den USA. Die Smartphone-App wird vor allem von jungen Leuten genutzt, die darüber Fotos und Kurznachrichten versenden. Das Wall Street Journal berichtet, dass im September pro Tag 350 Millionen Nachrichten über Snapchat ausgetauscht wurden. Das Besondere an dem Nachrichtendienst: Die Fotos und Nachrichten werden bereits nach kurzer Zeit wieder gelöscht. Dadurch avancierte Snapchat innerhalb kurzer Zeit zum erfolgreichen Startup mit schnellem Wachstum, das bereits  Kaufinteressenten anlockt. Ein erstes Angebot lag über drei Milliarden Dollar, wurde von den beiden Gründern aber abgelehnt. Es heißt, sie warten auf ein höheres Angebot.

Entsprechend ungelegen kommt ihnen eine Sicherheitslücke, die dem Image des Unternehmens schadet. In ihrem Blog üben sich die Gründer denn auch in Schadensbegrenzung: Im aktuellsten Blogpost heißt es, man habe auf die erste Warnung von Gibson Security im August 2013 reagiert, in dem man einige Änderungen vorgenommen habe. Snapchat wirft den Sicherheitsforschern vor, mit der Veröffentlichung ihrer ausführlichen Fehlerdokumentation den Missbrauch erst ermöglicht zu haben. Man wolle nun eine neue, sicherere Version der App veröffentlichen.