Fermer

août 7, 2018

Le pirate balaie le code source de Snapchat, le publie sur GitHub


Snapchat ne fait pas que faire disparaître les messages après un certain temps. Il en va de même pour les référentiels GitHub en particulier lorsqu'ils contiennent le code source propriétaire de la société.

Alors, que s'est-il passé? Eh bien, commençons par le début. Un GitHub avec le manche i5xx originaire du village de Tando Bago, dans la province du Sindh, au Pakistan, a créé un dépôt GitHub appelé Source-Snapchat .

moins les conneries.

Visitez Hard Fork.

Au moment de la rédaction du présent document, GitHub a retiré son dépôt après une demande DMCA de Snap Inc (nous y reviendrons plus tard), donc nous ne pouvons pas regarder de plus près et voir ce qu'il contient. Cela dit, son contenu comporte quelques indices.

Ce que vous voyez lorsque vous visitez le dépôt.

Le dépôt contient une description de "Code source pour SnapChat" et est écrit dans le langage de programmation Objective-C d'Apple. . Cela suggère fortement que la prise en pension contenait une partie ou la totalité de l'application iOS de la société, bien qu'il n'y ait aucun moyen de savoir avec certitude. Il pourrait tout aussi bien être un composant mineur du service, ou un projet distinct de la société.

Il existe deux autres indices sur l'identité de la personne qui a publié le code de fuite de Snapchat.

Selon le i5xx GitHub compte, il s'appelle Khaled Alshehri. Cela devrait être pris avec un grain de sel, cependant. Pour les débutants, rien n'empêche l'utilisateur de lister un faux nom. De plus, selon plusieurs personnes interrogées par TNW le nom de famille "Alshehri" n’est pas particulièrement répandu au Pakistan.

Le profil est également associé à une activité en ligne en Arabie Saoudite. suppression de sécurité et iCloud au développement de logiciels et à la vente de Cartes-cadeaux iTunes .

Il y a quatre jours, GitHub a publié DMCA demande de retrait de Snap Inc. bien que la demande ait probablement été déposée beaucoup plus tôt. GitHub, comme de nombreux autres géants de la technologie y compris Google publie des informations sur les demandes de retrait DMCA du point de vue de la transparence.

Le langage utilisé dans la demande DMCA est fascinant et traduit une véritable panique. organisation, ce qui suggère que le contenu du référentiel est légitime. Plutôt que d'utiliser une terminologie juridique formelle, la demande est principalement écrite en majuscules.

À la question " Veuillez fournir une description détaillée de l'œuvre originale protégée par le droit d'auteur. aurait été violé. Si possible, incluez une adresse URL à laquelle il est publié en ligne "le représentant de Snap Inc a écrit:

" SNAPCHAT SOURCE CODE. C'ÉTAIT FUITE ET UN UTILISATEUR L'AVANCE DANS CE GITHUB REPO. "

La partie la plus fascinante de cette saga est que la fuite ne semble pas être malveillante, mais vient plutôt d'un chercheur qui a trouvé quelque chose.

Selon plusieurs publications sur un compte Twitter censé appartenir à i5xx, le chercheur a tenté de contacter SnapChat, mais sans succès. [19659002] "Le problème que nous avons essayé de communiquer avec vous mais que nous n’avons pas réussi Dans ce cas, nous avons décidé de [sic] Déployer le code source", écrit i5xx.

"Je le posterai jusqu'à ce que vous me répondiez :)", at-il dit.

Pour ce que cela vaut, il est assez facile pour les chercheurs en sécurité d'entrer en contact avec Snap Inc. La société possède un compte actif sur HackerOne où elle exécute un programme de bogue

Selon les statistiques officielles de HackerOne, le site répond aux rapports initiaux en 12 heures et a déboursé plus de 220 000 dollars en primes.

Snap Inc déclare explicitement récompenser les chercheurs en fonction de leur gravité. J'imagine que l'équipe d'informationsec interne de la société considérerait le code source comme un problème de sécurité assez critique.

L'autre chose particulièrement intéressante est qu'il semble que le code source soit resté en ligne longtemps a été éliminé. L'historique des validations d'I5xx indique dix-huit commits, tous effectués entre le 23 et le 24 mai et appartenant au même référentiel.

GitHub a publié la demande de retrait de Snap il y a quatre jours. Cela suggère que le référentiel était potentiellement en ligne pendant plus de deux mois.

TNW a contacté Snap pour obtenir des commentaires. Si nous recevons des nouvelles de la société, nous mettrons à jour ce message.

Lire la suite:

Pourquoi je prédis que Web Apps progressistes changera le jeu pour les agences numériques

Le meilleur outil 2023 pour ta croissance Instagram !



Source link