Het lek zit in het ontbreken van een beperking voor de functie om vrienden te vinden. De mobiele chatapplicatie, die vooral onder jongeren populair is, is daarmee in staat om op grote schaal telefoonnummers te oogsten. De Snapchat-accounts zijn volgens security-onderzoekers makkelijk en snel te koppelen aan mobiele nummers van gebruikers. In een blogpost spreekt Snapchat dit tegen.

Al sinds augustus bekend

Volgens onderzoekers van Gibson Security staat Snapchats API (application program interface) voor de 'find_friends'-functie onbeperkt opvragen toe. Zij hebben dit eind juli ontdekt en eind augustus geopenbaard. Sindsdien heeft Snapchat het gat echter niet gedicht. Om het bedrijf daar toch toe aan te sporen, hebben de ontdekkers net voor de kerst exploitcode vrijgegeven waarmee het Snapchat-lek valt te benutten.

In een eigen test met een reeks ongebruikte nummers wisten de beveiligingsonderzoekers in zeven minuten tienduizend telefoonnummers te oogsten. Dit is gedaan met een virtuele server die een 1 Gbps-verbinding had, meldt de IDG News Service. De Gibson-onderzoekers stellen dat een serieuze aanvaller tenminste 5000 telefoonnummers per minuut kan achterhalen.

Massaal accounts aanmaken

In een maand tijd zou de oogst met slechts een enkele server al 292 miljoen nummers kunnen zijn. Naast het nummerlek heeft API voor Snapchat nog een zwakke plek: het staat geautomatiseerde massa-aanmaak van nieuwe accounts toe. Gibson Security heeft ook voor dit gat code vrijgegeven.