Snapchat a réagi une deuxième fois suite aux révélations sur les failles de sécurité de son service qui ont permis de collecter les identifiants, les numéros de téléphone et parfois aussi les noms de millions d'utilisateurs. Pas franchement d'excuses de la part de Snapchat qui avait déjà eu tendance à relativiser les conséquences de cette découverte, réalisée en août par les Australiens de Gibson Security.
De nouvelles versions des applications mobiles vont être proposées. Elles donneront la possibilité de ne plus apparaître dans les résultats de recherche sur les utilisateurs inscrits. Snapchat va aussi restreindre la fréquence à laquelle ses serveurs pourront être interrogés, une manière de freiner les risques d'extraction massive de ses bases.
Lors de l'inscription à Snapchat, le numéro de téléphone de l'utilisateur est demandé. Puis l'on peut, par la même occasion, importer son carnet d'adresses pour faciliter ensuite la recherche dans Snapchat de ses connaissances et leur envoyer des messages.
C'est en passant par cette fonction de recherche et en exploitant ses faiblesses qu'un groupe de hackers a pu collecter les données de 4,6 millions d'utilisateurs. Il s'est appuyé en bonne partie sur une API mise à nue par Gibson Security. Ces données ont été mises en ligne, avec des numéros de téléphone partiellement tronqués, pour attester de la porosité de Snapchat (lire Snapchat : les données de 4,6 millions d'utilisateurs à l'air libre).
La réaction de Snapchat a laissé sur sa faim Gibson Security qui avait alerté en privé depuis quatre mois des problèmes découverts, avant de les détailler publiquement la veille de Noël. L'équipe australienne émet quelques interrogations sur l'efficacité des mesures déployées et sur la correction effective des failles. Elle regrette également de ne pas avoir été contactée par Snapchat après ses révélations publiques le 24 décembre, ce qui aurait peut-être empêché la publication de cette base de données. Si l'on est curieux de savoir si son nom figure dans la base de données constituée, Gibson Security a mis en place une page de recherche.
