Slik knakk de meldingstjenestene

Slik knakk de meldingstjenestene

Nyttårshelga ble brukt til vellykkete angrep mot Skype og Snapchat.

Er det populært, er det utsatt for angrep fra de som har tvilsomme hensikter. Sosiale medier er selvsagt ikke noe unntak.

Nå har Skype blitt utsatt for et hack mot Twitter-konto, blogg og Facebook-side, der en gruppering som kaller seg «Syrian Electronic Army» (SEA) tok over kontoene og startet å kvitre og publiserer meldinger der Microsoft fikk gjennomgå. Spesielt forholdet til overvåkingstjenestene i USA var tema. Pinlig, men ikke mer enn hva selskapet får gjennomgå i kommentarfeltene på nettet daglig.

De kjente svakheten...

Verre var angrepet der 4,6 millioner Snapchat-brukernavn koplet til brukernes telefonnummer ble varslet, og seinere bekreftet som et legitimt angrep. En sårbarhet som viste hvordan et slikt angrep kunne lykkes var annonsert av sikkerhetseksperter i Gibson Security i forrige uke.

De viste da hvordan en svakhet i funksjonen «Finne venner» i Snapchat kan brukes til å fangste store mengder brukernavn og telefonnummer.

Listene med brukernavn og telefonnummer ble postet på internett.

Det kan virke mindre farlig at Snapchat med sine rettet meldinger mot en bestemt gruppe andre brukere kan misbrukes, enn for eksempel en massetjeneste som Twitter. Men tilgang til nettverket en bruker har, og muligheten for å poste rent tøv, eller søppelpost, eller farlig sladder er ille nok. Selv om levetiden en Snapchat-melding har er maksimalt ti sekunder, kan det være mer enn nok for å gjøre skade.

... men tettet den ei

Målet med angrepet skal ha vært å gjøre oppmerksom på at en enkel sårbarhet kan gjøre stor skade. For å redusere følgene av denne sårbarheten, er det to siste tallene i telefonnumrene som ble offentliggjort sladdet.

- Selskapet var for avslappet når det kom til å tette dette sikkerhetshullet, og gjorde det ikke før de så det var for sent og vi hadde utnyttet det. Selskaper vi betror personlige opplysninger må være mer forsiktige med hvordan de håndterer slike opplysninger, sier hackergruppa bak angrepet, i følger nyhetstjenesten til Computerworld .

I tiden mellom angrep og publisering, har Snapchat tettet sikkerhetshullet.

Hackergruppa har annonsert at den som vil ha tilgang til hele lista uten sladdete telefonnummer, kan få det gitt visse betingelser, som de ikke vil ut med. Med andre kan det spøke noen kjipe tilfeller framover for Snapchat-brukere med offentliggjort konto.

Hundrevis av sikkerhetshull åpen

Tilfellet Snapchat illustrerer en tendens til at svakheter og hull som varsles ignoreres av useriøse selskaper og utviklere. I alle fall inntil et angrep er gjennomført og i beste fall omdømmet har fått seg en skrape.

Testselskapet NSS Labs, som blant annet tester brannmurer og inntrengingsdeteksjon/blokkering for virksomheter, har satt et tall på hvor stort denne potensielle godteskåla for crackere er. Til enhver tid er det 100 hull og sårbarheter som er kjente, men ikke annonsert til andre enn utviklere og leverandører. Det tar i snitt mellom 133 og 174 dager, eller fire til seks måneder å tette slike sårbarheter.

Brukere av Snapchat som lurer på om deres brukernavn og telefon er plukket opp, kan sjekke dette på nettstedet snapcheck.org.

Twitter-brukere som Skype og andre bør huske at gode passord er helt nødvendig når brukernavnet er det samme som identiteten alle kjenner deg som.