WhatsApp: Bir qüsur 3.500 milyard nömrə və profil məlumatının çıxarılmasına imkan verdi.

Akademik araşdırma diqqəti cəlb etdi əlaqə kəşf sistemində təhlükəsizlik qüsuru WhatsApp geniş miqyasda istismar edildikdə, Bu, telefon nömrələrinin yoxlanmasına və profil məlumatlarının onlarla kütləvi şəkildə əlaqələndirilməsinə imkan verdi.Tapıntı, adi bir tətbiq prosesinin sənaye sürətində təkrarlandıqda, məlumatın məruz qalma mənbəyinə necə çevrilə biləcəyini təsvir edir.

Vyana Universitetinin bir qrupunun rəhbərlik etdiyi araşdırma, hesabların mövcudluğunu yoxlamağın mümkün olduğunu göstərdi. milyardlarla ədəd birləşmələri aylar ərzində effektiv bloklar olmadan veb versiyası vasitəsilə. Müəlliflərin fikrincə, əgər o proses məsuliyyətlə həyata keçirilməsəydi, söhbət bundan gedərdi indiyə qədər sənədləşdirilmiş ən böyük məlumat məruz qalmalarından biridir.

Boşluq necə yarandı: kütləvi siyahıyaalma

Problem şifrələməni pozmaqda deyil, konseptual zəifliklə bağlı idi: əlaqə axtarış aləti xidmətdən. WhatsApp istifadəçilərə telefon nömrəsinin qeydiyyatda olub-olmadığını yoxlamağa imkan verir; bu yoxlamanın avtomatik və geniş miqyasda təkrarlanması qlobal izləmə üçün qapını açdı.

Avstriyalı tədqiqatçılar veb-interfeysdən istifadə edərək nömrələri davamlı olaraq sınaqdan keçirdilər saatda təxminən 100 milyon çek təhlil edilən dövr ərzində heç bir effektiv sürət məhdudiyyəti olmadan. Bu həcm misli görünməmiş hasilatı mümkün etdi.

Təcrübənin nəticəsi qəti idi: onlar əldə edə bildilər 3.500 milyard hesabdan telefon nömrələri of WhatsApp. Bundan əlavə, onlar həmin nümunənin əhəmiyyətli bir hissəsi üçün açıq olan profil məlumatlarını əlaqələndirə bildilər.

Konkret olaraq, komanda qeyd edib 57% hallarda profil şəkillərinə, 29% isə ictimai status mətnlərinə və ya əlavə məlumatlara daxil olub.Bu sahələr hər bir istifadəçinin konfiqurasiyasından asılı olsa da, onların miqyasda məruz qalması riski artırır.

• WhatsApp-da qeydiyyatdan keçən 3.500 milyard nömrə təsdiqləndi.
• 57% ictimaiyyət üçün açıq profil şəkli ilə.
• Axtarıla bilən profil mətni ilə 29%.

Vaxtında nəzərə alınmayan əvvəlcədən xəbərdarlıqlar

Sadalamanın zəifliyi tamamilə yeni deyildi: artıq 2017-ci ildə, holland tədqiqatçı Loran Kloeze O, xəbərdarlıq edib ki, nömrələrin yoxlanılmasını avtomatlaşdırmaq və onları görünən məlumatlarla əlaqələndirmək mümkün olub.Həmin xəbərdarlıq indiki vəziyyəti qabaqcadan xəbər verirdi.

Vyananın son işi bu ideyanı həddindən artıq həddə çatdırdı və göstərdi ki telefon nömrəsindən asılılıq unikal identifikator kimi problemli olaraq qalırMüəlliflərin qeyd etdiyi kimi, rəqəmlər Onlar məxfi etimadnamə kimi çıxış etmək üçün nəzərdə tutulmayıbAmma praktikada bir çox xidmətlərdə bu rolu yerinə yetirirlər.

Tədqiqatın digər müvafiq nəticəsi ondan ibarətdir ki, şəxsi məlumatların çoxu zamanla öz dəyərini saxlayır: Komanda 2021-ci ildə Facebook sızıntısı zamanı telefonların 58%-nin ifşa edildiyini müəyyən edib Onlar bu gün də WhatsApp-da aktivdirlər., bu, korrelyasiya və davamlı kampaniyaları asanlaşdırır.

Rəqəmlərdən başqa, Kütləvi sorğu prosesi müəyyən texniki metaməlumatlardan nəticə çıxarmağa imkan verdiKimi müştəri və ya əməliyyat sisteminin növü işçi və profil üçün səth sahəsi əlavə edən masa üstü versiyalarının olması.

Metanın cavabı: sürət hədləri və rəsmi mövqe

Tədqiqatçılar Onlar aprel ayında tapıntı barədə Meta-ya məlumat verdilər və yaradılan verilənlər bazasını təsdiq etdikdən sonra sildilər.Şirkət də öz növbəsində bunu oktyabr ayında həyata keçirib dərəcəsini məhdudlaşdıran daha sərt tədbirlər internet vasitəsilə geniş miqyaslı siyahıyaalmanı bloklamaq.

İxtisaslaşmış media orqanlarına göndərdiyi bəyanatlarda Meta öz proqramı vasitəsilə bildirişə görə minnətdarlığını bildirib uğursuzluq mükafatları O vurğuladı ki, göstərilən məlumat hər bir istifadəçinin görünən kimi konfiqurasiya etdiyi məlumatdır. O, həmçinin bildirib ki, bu üsuldan qəsdən sui-istifadəyə dair heç bir sübut tapmayıb.

Şirkət israr etdi ki, mesajlar qorunurdu uç-to-end şifrləmə və heç bir ictimai olmayan məlumatın əldə edilməməsi səbəbindən. Kriptoqrafik sistemin pozulduğuna dair heç bir əlamət yox idi.

Bir neçə texniki görüşdən sonra WhatsApp araşdırmanı mükafatlandırdı ABŞ dolları 17.500Komanda üçün proses bildirişdən sonra yerləşdirilən yeni müdafiə vasitələrinin effektivliyini ölçmək və sınaqdan keçirmək üçün xidmət etdi.

Real risklər: fırıldaqçılıqdan qadağaları olan ölkələrdə hədəflənməyə qədər

Texniki aspektlərdən əlavə, bu məruz qalmanın əsas təsiri praktikdir. Görünən telefon nömrəsi və profil məlumatı ilə bu, daha asan olur. sosial mühəndislik kampaniyaları qurun və hər bir qurbanın kontekstual məlumatından istifadə edən hədəflənmiş fırıldaqlar.

Tədqiqatçılar həmçinin WhatsApp-ın qadağan olunduğu ərazilərdə milyonlarla aktiv hesabı müəyyən ediblər Çin, İran və ya MyanmaBu nömrələrin görünməsi yüksək nəzarət kontekstində istifadəçilər üçün şəxsi və ya hüquqi nəticələrə səbəb ola bilər.

Etibarlı telefonların kütləvi mövcudluğu onu artırır spam, doxxing və fişinq Xüsusilə profil şəkli və ya açıq mətn şəxsiyyət, məşğulluq və ya əlaqəli sosial şəbəkələr haqqında ipucu verdikdə daha yüksək dəqiqlik səviyyəsi ilə.

Nəzərə almaq lazımdır ki, nəhəng verilənlər bazalarına əlavə edildikdə, məlumatlar digər sızmalarla birləşərək illər boyu yayıla bilər. profilləri zənginləşdirir və hücumların effektivliyini artırır.

Avropa və İspaniya: niyə burada vacibdir

İspaniyada və WhatsApp-ın hər yerdə olduğu AB-nin qalan hissəsində bu miqyasda məlumatların ifşası potensial təsirindən narahatdır milyonlarla istifadəçi və biznesMeta sayma üsulunu düzəltsə də, hadisə telefon nömrəsinə əsaslanan dizaynla bağlı müzakirələri yenidən açır.

Avropa universitet komandasının iştirak etdiyi iş, hətta rahatlıq üçün nəzərdə tutulmuş funksiyaların, məsələn, kontaktları dərhal tapmaq üçün bir xatırlatma rolunu oynayır. Möhkəm və davamlı olaraq yoxlanılan müdafiə vasitələri yoxdursa, onlar risk vektoruna çevrilə bilərlər.

O, həmçinin məxfilik parametrlərini diqqətlə konfiqurasiya etməyin vacibliyini vurğulayır. Əgər profil şəkli və ya açıq mətn lazım olduğundan daha çox məlumat verirsə, onun geniş yayılması a olur təhlükə multiplikatoru şəxsi və peşəkar istifadəçilər üçün.

Təhlükəsizlik öhdəlikləri olan Avropa təşkilatları və idarələri üçün, Məlumatların görünməsini məhdudlaşdırmaq və tətbiqdən kənar daxili yoxlama prosedurlarını gücləndirmək kömək edir hücum səthini azaldır təqlid və ya saxtakarlıq kampaniyaları.

İndi nə edə bilərsən?

Alternativ identifikator olmadıqda, İstifadəçi üçün ən yaxşı müdafiə daxildir variantları tənzimləyin profil məxfiliyi və ehtiyatlı mesajlaşma vərdişlərini mənimsəyin.

• Profil şəklini və məlumatı "Mənim kontaktlarım" və ya "Heç kim" ilə məhdudlaşdırın.
• Status mətninizə həssas məlumatları və ya şəxsi bağlantıları daxil etməkdən çəkinin..
• Adınızı və ya şəklinizi göstərsələr belə, gözlənilməz mesajlardan ehtiyatlı olun.
• Hər hansı təcili və ya ödəniş sorğularını ikinci dərəcəli kanal vasitəsilə yoxlayın.

Kütləvi siyahıyaalma üçün xüsusi prospekt bağlansa da, bu epizod ictimai identifikatorların və nəzarətdə kiçik nəzarətlərin birləşməsinin böyük risklərə səbəb ola biləcəyinə dair sübutlarHesabınızda başqalarının görə biləcəyini minimuma endirmək gələcək məhsul yığım texnikalarının təsirini məhdudlaşdırır.

Avstriya araşdırmaları bunu göstərdi Ümumi funksiyadan sənaye miqyasında milyardlarla rəqəmi təsdiqləmək və görünən profilləri onlarla əlaqələndirmək üçün istifadə edilə bilər.Meta məhdudiyyətləri sərtləşdirdi və sui-istifadəyə dair heç bir dəlil olmadığını iddia etdi, ancaq sosial mühəndislik riskləriQadağalar və məlumatların davamlılığı olan ölkələrdə əldə edilən nəticələr telefon nömrələrinə əsaslanan dizaynı nəzərdən keçirmək və Avropa istifadəçiləri arasında daha sərt məxfilik vərdişlərini təşviq etmək zərurətini vurğulayır.