Snapchat je aplikácia určená na posielanie fotografií. Používajú ju desiatky miliónov ľudí najmä v USA, kde je najpopulárnejšia. Niektorí zamestnanci majú prístup k ich používateľských údajom. Časť z nich túto právomoc zneužila na špehovanie bežných používateľov Snapachatu. Informoval o tom Cybersec.
Viaceré zdroje spomínajú interný nástroj SnapLion používaný na prístup k používateľským údajom Snapchatu. Dvaja bývalí zamestnanci pre Motherboard povedali, že čosi podobné sa stalo už pred niekoľkými rokmi. V roku 2014 Federálna obchodná komisia pokutovala Snapchat za to, že spoločnosť zhromažďovala, uchovávala a prenášala údaje o geografickej polohe používateľov. Zamestnanci mali prístup k ich údajom, vrátane polohy, uložených fotiek a osobným údajom, ako sú telefónne čísla a emailové adresy. Jedným z interných nástrojov, ktorý umožňuje prístup k používateľským dátam, je takzvaný SnapLion.
Jeho primárnym účelom je zhromažďovanie informácií o používateľoch pri vymáhaní práva v prípade právnych sporov. Nástroje ako SnapLion sú v IT svete štandardom a využívajú sa na legitímne účely. Jeden z bývalých zamestnancov uviedol, že zneužitie k prístupu údajom sa stalo už niekoľkokrát a vykonávali ho viacerí jednotlivci. Podrobnosti o tom, ako zamestnanci Snapchatu v tomto prípade tento inak zákonný nástroj použili, zatiaľ nie sú známe. Bývalý zamestnanec taktiež spomenul, že pred niekoľkými rokmi Snapchat nedostatočne kontroloval kto používa systém a k akým údajom má prístup. Spoločnosť preto implementovala monitorovacie prostriedky ako aj väčšie obmedzenia prístupu k systému.
Dnes sa však SnapLion používa všeobecne, napríklad pri resetovaní hesla u napadnutých účtov, a nie len na presadzovanie práva. Snapchat nie je výnimkou, podobné zlyhania sa stali aj iným známym firmám. V minulom roku napríklad Facebook prepustil viacerých zamestnancov za to, že používali svoj privilegovaný prístup k používateľským dátam na špehovanie svojich bývalých partnerov. Zamestnanci Uberu zas používali interné systémy na špehovanie politikov a celebrít pomocou režimu God View, ktorý zobrazuje polohu zákazníkov a vodičov v reálnom čase.
Zdroj: Cybersec