ביום שישי האחרון צצו דיווחים על כךעשרות אלפי תמונותדלפו מאפליקציית Snapchat של צד שלישי. כפי שאנו יודעים כעת, יותר מ-98,000 תמונות של משתמשים צולמו מ-Snapsaved.com שהוקם כעת.

התגובה של Snapchat הייתה ללהאשים את המשתמשים שלוולהבהיר שהתמונות לא דלפו מהשרתים שלהם, הן נחטפו מאתר צד שלישי שמפר את תנאי השימוש שלו.

זו לא הפעם הראשונה שהאבטחה של Snapchat או פרטיות המשתמשים שלה עולים בספק. בינואר השירות דלף4.7 מיליון שמות משתמש ומספרי טלפון. הטוֹןשֶׁלתגובת החברההשאיר הרבה לרצוי. תלמידי תיכון -- אותם אנשים שמרכיבים את רוב בסיס המשתמשים של Snapchat --מצא במהירות חורים.

במאי, Snapchat סיכמה עם ה-FTC על דליפות הנתונים שלה ועל הקלות שבה משתמשים מתחת לגיל 13 יכולים להצטרף לשירות. חלק מההסדר הזה היה אמור לכלול פיקוח על אופן הפעולה של מבנה האבטחה של החברה.

באירוע האחרון הזה, Snapchat צודק מבחינה טכנית כשהיא מציינת שהשרתים שלה לא נפרצו. ובכל זאת, החברה עדיין לא הגיבה באופן מהותי עם הסבר כלשהו מדוע האפליקציות והאתרים של צד שלישי אלה קיימים ומה החברה עושה בקשר לזה בהמשך.

Mashable פנה אל Snapchat עבור הסיפור הזה ועבור אחרים בהזדמנויות רבות. אפילו נתתי להם יותר משבע שעות להגיב לסיפור הזה ולא קיבלתי שום דבר מלבד מגיב אוטומטי.

כאשר תמונות נעלמות הן אשליה

גם אם Snapchat אינה אחראית ישירות לפריצת התמונות האחרונה הזו, הפריצה עצמה מראה שיש פגם אבטחה מובנה במוצר של Snapchat: ההבטחה להעלמות תמונות היא בעצם רק אשליה.

מפתח Mac ומומחה אבטחהרוזינה קלרמתאר את האבטחה של Snapchat כמסתכמת ב"סימן 'אל תכנס' שמובס על ידי צילום מסך".

קלר צודק; צילום מסך של תמונה בתוך טלפון לפני שפג תוקפו או שימוש במצלמה אחרת כדי ללכוד מסך Snapchat הופכים את הטענות על שירות חולף לפחות נכון. התמונות עלולות להיעלם מהלקוחות הרשמיים אם שני הצדדים ישתמשו בה כפי שתוכנן, אבל לכל אחד קל להפליא לשמור את התוכן של תיבת הדואר הנכנס של Snapchat שלו, וזה עוד לפני שדיברנו על שלל האפליקציות והאתרים של צד שלישי שהם הרחבות לא רשמיות של Snapchat.

בתור חוקר אבטחהאדם קאדיל, תלמידגרהם סמית'והצוות בגיבסון אבטחהואחרים הראו, קל להפליא להנדס לאחור את ה-API שלא פורסם של Snapchat.

משמעות הדבר היא שצדדים שלישיים, או אנשים שאינם קשורים ל-Snapchat, יכולים לבנות אפליקציות משלהם לאינטראקציה עם השירות. בניגוד לחברות כמו טוויטר ופייסבוק, Snapchat לא מפרסמת API, כך שמפתחים שרוצים לבנות אפליקציה לפלטפורמה לא נתמכת או רוצים להוסיף אפשרויות נוספות לשירות - כמו היכולת לשמור תמונות לצפייה מאוחרת יותר - יכולים לעשות זאת.

למרות שזה נוגד מבחינה טכנית את תנאי השימוש של Snapchat, משתמשים נוהרים לאפליקציות הללו בכל מקרה. הבעיה היא לא רק שאפליקציות לא מורשות נמצאות בפלטפורמה, הבעיה היא שהתשתית של Snapchat לא מאפשרת לסנאפצ'ט לדעת מה התנועה מהלקוח הרשמי ומה התנועה מאתר כמו SnapSaved.

בְּעוֹדמדבר עם Wired, קאודיל ציין כי "המפתח הממוצע שלך יכול לבנות משהו בזמן של יום שמקיים אינטראקציה עם ה-API של Snapchat ושומר את כל מה שמגיע דרכו".

חוקרי אבטחה איתם שוחח Mashable אמרו שסביר להניח ש-Snapchat יכולה לעשות יותר כדי להפוך את ה-API שלה לקשה יותר להנדסה לאחור, אבל זה לא פתרון "אמיתי". עם מספיק אנרגיה וזמן, מערכת מתוכננת טוב יותר עדיין יכולה להיות הנדסה לאחור. ככל ש- Snapchat גדל יותר, כך הוא הופך למטרה גדולה יותר עבור משתמשים שרוצים לעשות בדיוק את זה.

@film_girl @lazycoderכל עוד משהו משתמש ב-API ניתן לצפות בו, ולהעתיק אותו, ואין דרך לזהות- בארי דורנס (@blowdart)13 באוקטובר 2014

@film_girl @blowdart @lazycoderהם יכלו להשקיע יותר זמן בפרוטוקול ערפול ללא הרף, אבל בסופו של דבר הם לא יכולים למנוע— InfoSec Taylor Swift (@SwiftOnSecurity)13 באוקטובר 2014

משחק האשמה

Snapchat מיהרה מאוד להאשים את המשתמשים ב-"Snappening", כפי שהיא מכונה. ולמרות ש-Snapchat עשויה לפטור את עצמה מאשמה משפטית (הפעם), זה לא משנה את העובדה שהנתונים של החברה דלפו באמצעים אחרים בעבר במצבים שלא היו באשמת המשתמש.

יתרה מכך, האופי של Snapchat הוא כזה שמשתמשים לא יודעים באיזה לקוח משתמש מישהו שהם שולחים תמונה אליו. כתוצאה מכך, אם אני מצ'אט עם ג'ף מ-Mashable ואני לא מבין שיש לו המון אפליקציות וכלים ופריצות של צד שלישי כדי לאחסן את הניסיון שלו, אם אחד מהשירותים האלה נפרץ (כמו שהיה במקרה של SnapSaved), אני לא יכול לעשות שום דבר בקשר לזה.

זה דבר אחד להאשים משתמשים שמשתמשים בשירותים לא מורשים של צד שלישי; אבל מה לגבי כל המשתמשים שמתקשרים בלי משים עם חברים שמשתמשים בשירותים האלה? אם נפרק את ההצהרה של Snapchat מיום שישי, מה שזה באמת מסתכם הוא שלמשתמשים לא צריך לסמוך על כך שלכל תמונה שהם שולחים באמצעות Snapchat יש תחושה אמיתית של פרטיות, אבטחה או יכולות הרס עצמי. המשתמש צריך לצפות שהאדם מהצד השני יכול ושומר תמונות בעצמו ואולי משתמש בשירות של צד שלישי שמצמצם את כל הנתונים כדי להיות משותפים עם העולם.

זו לא דרך לא נכונה לגשת ל- Snapchat כמוצר. הבעיה היא שהעותק השיווקי של Snapchat למשתמשים מרמז שהוא בטוח, שהוא מאובטח ושהתמונות למעשה נעלמות.

רוברט סיציליאנו, מומחה לאבטחה ופרטיות עםHotspot Shield, אומר ש-Snapchat צריכה לעשות עבודה טובה יותר ולאפשר למשתמשים לדעת את כל הדרכים שבהן ניתן להדליף את הנתונים שלה באמצעות האפליקציה.

סיציליאנו מציין ש-Snapchat'sתנאי שימושלהזכיר את המגבלות של הטכנולוגיה שלה -- כלומר, להודות שהכל מוצע "כמות שהוא" ללא אחריות שהוא תמיד יהיה מאובטח או נקי משגיאות.

זה עשוי להגן על Snapchat ועל המשקיעים שלה באופן חוקי, אבל מה זה אומר למשתמשים?

כאשר 50% מהמשתמשים של Snapchat הם בין 13 ל-17, האם זה הוגן להטיל את חובת השמירה על שירותי צד שלישי על המשתמש שאולי לא יודע טוב יותר?

סיציליאנו אומר ש-Snapchat צריך לעשות עבודה טובה יותר ולהזהיר את המשתמשים מפני שימוש באפליקציות של צד שלישי, במיוחד מכיוון שההשלכות לא יורדות מהמשתמש אלא כל מי שהמשתמש מחליף איתו הודעות.

מצידו, Snapchat אומר שהיא הסירה בהצלחה את "עשרות" של אפליקציות צד שלישי מ-App Store ו-Google Play ושהוא רודף באגרסיביות לסגור אפליקציות חדשות, אבל זה לא משנה את העובדה שאפליקציות ואתרים פופולריים צצים כל הזמן. יתר על כן, פשוט מנסה להשיג אפליקציה שנשלף מכל חנות אפליקציות הוא פתרון שבאמת לא ניתן להרחבה.

איש האבטחה העונה לשםSwiftOnSecurityבטוויטר פרסם anערך מאיר בבלוג בחודש שעברמציג את הכשל של פשוט להאשים משתמשים - במיוחד משתמשים צעירים - בחוסר מידע.

במקרה של Snapchat, החברה יוצאת מגדרה כדי להקרין באופן מרומז תמונה של שירות בטוח ופרטי. בינתיים, החברה בהחלט לא יכולה להבטיח או אפילו למנוע באופן אמין מצדדים שלישיים להפר את תנאי השימוש שלה.

Snapchat צריך לבטל כל התיימרות להיות "פרטיים"

.@film_girl @blowdartSnapChat הוא אשליה במספר דרכים, בחלקן הם שולטים, ובחלקם הם לא יכולים.- InfoSec Taylor Swift (@SwiftOnSecurity)13 באוקטובר 2014

כמבוגר כמעט בן 32, קל לי להסתכל על Snapchat, לראות את הפגמים המובנים שלו בפרטיות וברקורד לקוי של אבטחת משתמש ולקבל את ההחלטה פשוט לא להשתמש בשירות לתקשורת המיידית שלי.

עם זאת, מיליוני על מיליוני משתמשים אחרים (הרבה צעירים ממני), לא יקבלו את ההחלטה הזו. ולמען ההגינות, Snapchat לא מיועד רק לסקס; האופי הארעי והמצויר של השירות, שלא לדבר על הצ'אט שלו וסיפורי Snapchat זה כיף. יש לזה ערך והוא דרך מעניינת לתקשר.

זו הסיבה שהצעתי, עבור Snapchat כחברה -- כמו גם לכל מי שמשתמש בסנאפצ'ט -- להוריד את העמדת הפנים שזו דרך חלופית מאובטחת לשלוח תמונות או טקסט. במקום זאת, צריך לאמץ אותו למה שהוא, שירות מהנה שהוא רק חזק כמו החוליה החלשה שלו. ובמקרה זה, הקישורים החלשים ביותר עשויים להיות האנשים שאיתם אתה מצמיד.