Daten von 4,6 Millionen Snapchat-Konten veröffentlicht

Unbekannte Hacker haben Daten von 4,6 Millionen Snapchat-Nutzern veröffentlicht. Bei SnapchatDB.info stellten sie die Datenbank als SQL-Dump sowie CSV-Datei zum Download bereit. Die Website ist inzwischen nicht mehr zugänglich, nachdem der Hoster sie wegen der unerwünschten Aufmerksamkeit sperrte.

„Sie laden die Telefonnummern von 4,6 Millionen Nutzern zusammen mit ihren Nutzernamen herunter“, hieß es dazu. „Da die Leute dazu neigen, überall im Web den gleichen Nutzernamen zu verwenden, können Sie diese Informationen einsetzen, um die Telefonnummern zu Facebook- und Twitter-Konten zu finden oder einfach die Telefonnummern von Personen herauszufinden, mit denen Sie in Verbindung treten wollen.“

Von der Veröffentlichung betroffen sind vor allem US-amerikanische Nutzer, zudem wurden die letzten beiden Ziffern der Telefonnummern maskiert. Es scheint sich demnach um eine Art Warnschuss zu handeln, um den Messaging-Dienst zu mehr Sicherheitsbewusstsein zu bewegen. Snapchat-CEO Evan Spiegel erklärte inzwischen, das Unternehmen arbeite mit Ermittlungsbehörden zusammen und werde so bald wie möglich Näheres mitteilen.

Snapchat wurde durch sein flüchtiges Instant Messaging insbesondere bei Teenagern beliebt. Es erlaubt den Versand von Fotos oder Videos an Freunde, die nur bis zu zehn Sekunden lang sichtbar bleiben und sich dann selbst zerstören. Snapchat eignet sich daher besonders für den Versand unterhaltsamer Aufnahmen, deren dauerhafte Speicherung und Weitergabe wie bei Facebook unerwünscht ist. Das können etwa weniger schmeichelhafte oder anzügliche Fotos sein, was Snapchat den Ruf einer “Sexting”-Anwendung einbrachte.

Der Hack hat eine erstaunlich lange Vorgeschichte, da die australische Sicherheitsfirma Gibson Security schon im August 2013 auf eine Reihe von Sicherheitslücken aufmerksam machte. Ein Exploit-Skript nutzte die Snapchat-API, um Benutzernamen, Aliasnamen sowie Telefonnummern zu finden und auszulesen. „Die invertierte API kann nicht nur bei Android, sondern auch bei iOS genutzt werden“, erklärte Gibson Security gegenüber ZDNet.com. „Beide Plattformen sind anfällig.“ Sie befürchteten aufgrund der Schwachstelle, dass Internettrolle und Stalker die Informationen nutzen könnten. Mehr noch, ein Unternehmen könnte den Exploit in großem Umfang ausbeuten, um eine Datenbank an Dritte zu verkaufen. Aufgrund der ungenügenden Sicherheit bei Snapchat seien letztlich auch weitergehende Angriffe denkbar, selbst die Betrachtung ungelesener Nachrichten, Veränderungen der Bilder und ihr vollständiger Austausch nicht auszuschließen.

Snapchat reagierte aber offenbar nicht auf die Hinweise und unternahm keine nennenswerte Anstrengungen, die eigene Sicherheit zu verbessern. An Weihnachten schließlich veröffentlichten die australischen Sicherheitsforscher ihre Erkenntnisse über den von ihnen so bezeichneten „Freunde-Finden-Exploit“. Am 27. Dezember antwortete Snapchat darauf mit einem Blogeintrag und versicherte, die Sicherheit beständig angehoben zu haben. Im Laufe des Jahres seien verschiedene Vorkehrungen getroffen und Gegenmaßnahmen eingeleitet worden. Das reichte aber offensichtlich nicht aus, die folgende Veröffentlichung der Daten von 4,6 Millionen Nutzerkonten zu verhindern.

The Verge erhielt inzwischen eine Stellungnahme der Hacker, die sich für die Veröffentlichung von Nutzerdaten auf SnapchatDB verantwortlich erklärten. Sie erklärten, eine modifizierte Version der von Gibson Security veröffentlichten Methode eingesetzt zu haben. „Uns motivierte für die Veröffentlichung, öffentliche Aufmerksamkeit für dieses Problem zu schaffen und auch öffentlichen Druck auf Snapchat auszuüben, diese Lücke zu schließen“, schrieben sie. „Sicherheit ist nicht weniger wichtig als die Benutzererfahrung. Selbst jetzt ist der Exploit noch nutzbar.“