Một người dùng GitHub có tên i5xx với địa chỉ ở làng Tando Bago, tỉnh Sindh, phía đông nam Pakistan, đã đăng tải một repository (kho – repo) có tên Source-Snapchat lên GitHub. Tại thời điểm này, repo đã bị GitHub xóa theo yêu cầu bảo vệ quyền tác giả DMCA từ Snap Inc. nên chúng ta không thể xem xét kỹ lưỡng bên trong nó có chứa những gì. Tuy nhiên, vẫn còn một số manh mối cho thấy nội dung của repo này.
Repo được miêu tả là “Mã nguồn cho Snapchat” và được viết bởi ngôn ngữ Objective-C của Apple. Điều này cho thấy rằng repo chứa một phần hoặc toàn bộ mã nguồn ứng dụng Snapchat dành cho iOS nhưng không có cách nào để xác nhận. Nó cũng có thể là một phần nhỏ của dịch vụ hoặc một dự án riêng của Snap.
Có hai manh mối khác về danh tính của người đã tải mã nguồn của Snapchat lên GitHub.
Theo miêu tả của tài khoản i5xx trên GitHub, tên anh ta là Khaled Alshehri. Tuy nhiên, không nên quá tin vào cái tên này bởi người dùng GitHub hoàn toàn có thể sử dụng tên giả. Hơn nữa, theo The Nex Web, họ Alshehri không phổ biến ở Pakistan.
Hồ sơ của i5xx cũng liên kết với một doanh nghiệp trực tuyến ở Ả Rập Saudi, cung cấp một loạt dịch vụ công nghệ gồm quét bảo mật, xóa iCloud tới phát triển phần mềm và bán thẻ giảm giá iTunes.
Bốn ngày trước, GitHub mới công khai yêu cầu DMCA của Snap nhưng yêu cầu này có thể được Snap gửi từ cách đây khá lâu. GitHub, giống như nhiều hãng công nghệ khác như Google, công khai thông tin DMCA để đảm bảo tính minh bạch.
Ngôn từ trong DMCA cho thấy Snap đang rất lo lắng và vì thế những mã nguồn chứa trong repo chắc chắn rất quan trọng. Thay vì sử dụng các thuật ngữ pháp lý thông thường, hầu như tất cả mọi điều trong DMCA của Snap đều được viết hoa toàn bộ.
Với yêu cầu: “Vui lòng cung cấp mô tả chi tiết về sản phẩm gốc có bản quyền bị cáo buộc vi phạm. Nếu có thể hãy bao gồm một đường link đến nơi nó được đăng tải trực tuyến”, đại diện của Snap viết:
“MÃ NGUỒN CỦA SNAP. NÓ ĐÃ BỊ LỘ VÀ MỘT NGƯỜI DÙNG ĐÃ ĐƯA NÓ LÊN REPO GITHUB NÀY. KHÔNG CÓ ĐƯỜNG LINK NÀO CẢ BỞI VÌ SNAP INC. KHÔNG ĐĂNG TẢI NÓ CÔNG KHAI”.
Không phải là một vụ tấn công
Đáng chú ý hơn, đây không phải là một vụ tấn công nhắm vào Snapchat. Có vẻ như anh chàng i5xx đã vô tình tìm thấy mã nguồn của Snapchat ở đâu đó nhưng không thể liên hệ với Snap để thông báo vụ việc.
Theo một bài viết trên tài khoản Twitter được cho là thuộc vê i5xx, anh này đã cố gắng lên lạc với Snap nhưng không thành công.
“Chúng tôi đã cố liên hệ với các anh nhưng không thành công. Đó chính là vấn đề. Và vì thế, chúng tôi đã quyết định tải nó lên”, i5xx viết.
Tài khoản này cũng đe dọa sẽ đăng tải lại mã nguồn này. “Tôi sẽ tiếp tục đưa nó lên cho tới khi các anh chịu trả lời :)”, anh ta viết.
Thực tế, các nhà nghiên cứu bảo mật có thể dễ dàng liên hệ với Snap bởi công ty này có hợp tác với HackerOne để triển khai chương trình săn lỗi nhận thưởng. HackerOne hoạt động tích cực và thường phản hồi rất nhanh.
Theo thống kê chính thức của HackerOne, họ thường phản hồi những báo cáo ban đầu trong vòng 12 tiếng và đã trả hơn 220.000 USD tiền thưởng cho các hacker.
Snap đã tuyên bố rằng họ sẽ thưởng cho các nhà nghiên cứu dựa trên mức độ nghiêm trọng của vấn đề bảo mật. Và rõ ràng, việc mã nguồn của ứng dụng chính bị rò rỉ là vấn đề bảo mật khá nghiêm trọng.
Một điều thú vị khác là mã nguồn của Snapchat đã được duy trì trực tuyến khá lâu trước khi bị xóa. Lịch sử tương tác của i5xx cho thấy 18 người dùng GitHub đã tiếp cận với repo này trong khoảng thời gian từ 23 tới 24/5.
Như đã đề cập, bốn ngày trước GitHub mới công khai DMCA của Snap. Vì thế, repo này đã trực tuyến trong hơn hai tháng. Hiện Snap Inc. vẫn chưa có bất cứ tuyên bố nào về vụ việc này. Snapchat Q2/2018: Lỗ ròng 353 triệu USD, số lượng người dùng lần đầu sụt giảm, mặc dù doanh thu tăng trưởng mạnh 44%