I et blogindlæg responderer Snapchat nu på den seneste tids skærmydsler, om det hack af en uofficiel snapchat-tjeneste, der på nettet er blevet døbt ‘the snappening'.
På bloggen uddyber Snapchat, hvad reglerne er i forbindelse med tredjeparts apps, der tilbyder sig som et alternativ til den officielle Snapchat-app.
- Alle apps som ikke er vores, men som tilbyder Snapchat-services, overtræder vilkårene for brugen af Snapchat, og er ikke pålidelige, skriver de.
Et API åbner for tredjepart
Snapchat har nemlig - imodsætning til fx Facebook og Twitter - ikke et officielt API (Application programming interface). Et officielt API gør det lovligt for andre udviklere at tilbyde alternative muligheder for at bruge en service.
Med TweetDeck kan man eksempelvis logge ind på sin Twitter-konto, og tweete løs, uden at man nogensinde gør brug af den officielle Twitter-app. Det samme gør sig gældende med Facebook, som man eksempelvis kan bruge fra appen Flipboard, som en af mange alternative løsninger. Det er fuldt lovligt og sker med Twitter og Facebooks velsignelse.
Hos Dropbox er hjertet af deres service deres API, fordi de netop ønsker, at så mange tredjeparts apps som muligt bruger Dropbox som et sted til at gemme data, og som et knudepunkt for at data kan synkroniseres på brugernes computere og telefoner. For at det kan lade sig gøre, er et officielt API en nødvendighed.
Internetservices laver altså typisk et åbent API, for at servicen kan integreres i andre løsninger og kan spredes af andre kanaler, samtidig med at man bevarer kontrollen over hvordan tredjepartsudviklere må bruge ens service.
Snapchat har ikke et åbent API
Men Snapchat har ikke noget officielt API, og derfor understreger de i deres blogindlæg, at der simpelthen ikke findes nogle legale alternativer til den officielle Snapchat app.
Når andre apps så alligvel kan tilbyde Snapchat services, er det fordi de ulovligt gør brug af Snapchats lukkede API. Disse trejdeparts-apps beder altså ulovligt om dit brugernavn og password, og når du først har givet disse oplysninger, kan de eksempelvis bruges til at sende, modtage og gemme snaps, som det netop har været tilfældet i “the snappening”.
Snapchat opfordrer derfor brugerne til at lade være med at bruge andre Snapchat apps, indtil de eventuelt på et senere tidspunkt er klar med et åbent API. Men de appelerer også til app-butikkerne om slet ikke at gøre det muligt at downloade tredjeparts Snapchat-apps
- Vi vil fortsætte med at gøre vores til at forbedre Snapchats sikkerhed men vil opfordre Apple og Google til at fjerne de tredjeparts-apps, som gør brug af vores API, skriver Snapchat.
Det ved vi om ‘the snappening':
Omkring selve ‘the snappening'-sagen, er det stadig temmelig uklart, hvad der er op og ned. Ikke mindst fordi mange af dem der udtaler sig, eller bliver citeret, er anonyme.
Det som vi (tror vi) ved er følgende:
- •
Den 9. oktober skriver en person ved navn Kenny Withers, at han på hjemmesiden 4chan har set personer der påstår, at de har hacket 200.000 Snapchat-brugeres billeder.
- •
Herefter eksploderer historien på nettet. Snapchat afviser at deres servere har været ramt. Flere ting peger i retning at en uofficiel Snapchat-service ved navn Snapsaved.
- •
Brugere på 4chan truer med at ville publicere en søgbar database, hvor man kan finde alle de ramtes billeder, hvis man kender deres Snapchat-brugernavn. Dette er aldrig sket.
- •
I en artikel på Mashable fra den 10. oktober, fremgik det at sikkerhedseksperten Ashkan Soltani, havde lavet en ‘baglæns billedsøgning', på flere af de billeder Withers henviste til, og at stort set alle, havde ligget på nettet et stykke tid.
- •
På Facebook bekræftede Snapsaved d. 11 oktober, at deres service snapsaved.com var blev hacket. Men de skriver, at det kun er 500 megabyte billeder og at ingen personlige informationer er blevet stjålet. De kalder det derfor en løgn, når nogle påstår, at de kan lave en søgbar database, over brugere og deres billeder.
- •
Den mappe der florerer på nettet med billeder, fylder 13 gigabyte, som jo er langt mere end 500 megabyte. Hvis Snapsaved taler sandt, kan alle billederne altså ikke stamme fra snapsaved.com
- •
Den 13 gigabyte store mappe indeholder 88,521 billeder og 9,173 videoer fra perioden 3 oktober 2013 til 9 oktober 2014. Billederne kan altså ikke stamme fra 200.000 brugere, som Kenny Withers først nævnte, at der var tale om. Han har efterfølgende rettet sin artikel.
- •
Flere brugere på Reddit skriver, at langt størstedelen af billederne er harmløse. Andre brugere skriver, at der er nøgenbilleder billeder af meget unge.
- •
Den 13 oktober skriver mediet Arstechnica, at de har fået en henvendelse fra en anonym sikkerhedsekspert, der går under navnet “Riot”, som har lavet en fuld dataanalyse af de 13 gigabyte billeder og video.
‘Riots' konklusion er følgende:
- Det er ikke muligt at forbinde billederne til Snapchat-brugernavne i størstedelen af tilfældene, med undtagelse af 320 tilfælde, hvor filerne er navngivet anderledes og i alle tilfælde indeholder et brugernavn. Disse 320 brugernavne er allerede offentliggjort på Pastebin, skriver Riot til Arstechnica.
- •
En læser som Arstechnica har været i kontakt med siger, at han i mappen har fundet 3.999 billeder fra Snapsaved.com der relaterer sig til 400 forskellige brugernavne (altså en smule flere brugernavne, end hvad ‘Riot' har fundet). Ifølge samme læser ligger alle de resterende billeder og videoer angiveligt i den følgende mappestruktur: by/fornavn/første bogstav i efternavn (eksempelvis Odense/Jytte/K).
Det er der ‘the snappening'-sagen står nu.
Det er med sikkerhed ikke 200.000 brugere der har mistet billeder. Intet tyder på, at der kan laves en søgbar database over alle billederne baseret på brugernavn eller telefonnummer. Det er stadig uklart, hvor præcist alle billederne stammer fra.