Snap bevestigt lekken van Snapchat-broncode door iOS-update
Een deel van de broncode van de populaire berichtenapp Snapchat is eerder dit jaar gelekt, zo heeft techbedrijf Snap bevestigd. De broncode bleek in mei onbedoeld gelekt te zijn en verscheen vervolgens op ontwikkelaarsplatform GitHub. Vorige week diende Snap een verzoek in om die verwijderd te krijgen.
"Een iOS-update in mei heeft een klein gedeelte van onze broncode blootgesteld en we waren in staat om de fout te vinden en meteen te verhelpen", aldus een woordvoerder van Snap tegenover Vice Magazine. "We hebben ontdekt dat een deel van deze code online is verschenen en het is vervolgens verwijderd. Dit heeft onze applicatie niet gecompromitteerd en heeft geen invloed op onze community gehad." Hoewel de code van GitHub is verwijderd wordt die op Twitter door verschillende personen aangeboden.
Gratis audit? Verspilde moeite ;-D
Niet nodig, want Snapchat staat al flink in het rood:
* geen open source licentie
* geen end-2-end encryptie
* geen MitM bescherming
* logt gedragsgegevens
* misbruik van adressenboek
* niet anoniem te gebruiken
* geen veilige dataopslag
* geen respect voor privacy
https://toolbox.bof.nl/adviezen/whatsapp-alternatief/
Bijvoorbeeld het uitzetten van de Server header op een website (die compleet nutteloos is maar toch default aan staat) kan helpen tegen scriptkiddies die snel even een scantool runnen om te kijken of je Apache, of PHP, of zelfs een specifieke versie draait. Komt die info niet naar voren, dan gaan ze de miljoenen andere domeinnamen scannen.
Dus nee. Security by obscurity is geen doorn in het oog van de IT, maar in de ogen van scriptkiddies.
Bijvoorbeeld het uitzetten van de Server header op een website (die compleet nutteloos is maar toch default aan staat) kan helpen tegen scriptkiddies die snel even een scantool runnen om te kijken of je Apache, of PHP, of zelfs een specifieke versie draait. Komt die info niet naar voren, dan gaan ze de miljoenen andere domeinnamen scannen.
Dus nee. Security by obscurity is geen doorn in het oog van de IT, maar in de ogen van scriptkiddies.
Het gaat om broncode die open source wordt gemaakt. Niet om headers die je verbergt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
