WhatsApp: Greška je omogućila ekstrakciju 3.500 milijardi brojeva i podataka o profilima.

Akademsko istraživanje je stavilo u fokus sigurnosni propust u sistemu za otkrivanje kontakata WhatsApp, koji, kada se koristi u velikim razmjerima, Omogućilo je verifikaciju telefonskih brojeva i masovno povezivanje podataka profila s njima.Ovo otkriće opisuje kako rutinski proces aplikacije, ako se ponavlja industrijskim tempom, može postati izvor izloženosti informacijama.

Studija, koju je vodio tim sa Univerziteta u Beču, pokazala je da je moguće provjeriti postojanje računa za milijarde brojnih kombinacija putem web verzije, bez efektivnih blokada mjesecima. Prema autorima, da taj proces nije proveden odgovorno, govorili bismo o jedno od najvećih ikada dokumentovanih izlaganja podataka.

Kako se jaz materijalizovao: masovno prebrojavanje

Problem nije bio u probijanju enkripcije, već u konceptualnoj slabosti: alat za pretragu kontakata usluge. WhatsApp omogućava korisnicima da provjere da li je telefonski broj registrovan; automatsko ponavljanje ove provjere i u velikim razmjerima otvorilo je vrata globalnom praćenju.

Austrijski istraživači su koristili web interfejs za kontinuirano testiranje brojeva, dostigavši približna brzina od 100 miliona provjera na sat bez ikakvih efektivnih ograničenja brzine tokom analiziranog perioda. Ta količina je omogućila neviđenu eksploataciju.

Rezultat eksperimenta bio je uvjerljiv: uspjeli su dobiti brojevi telefona sa 3.500 milijardi računa WhatsApp. Osim toga, uspjeli su povezati javno dostupne podatke profila za značajan dio tog uzorka.

Konkretno, tim je istakao da Profilne slike su pregledane u 57% slučajeva, a javni statusi ili dodatne informacije u 29%.Iako ova polja zavise od konfiguracije svakog korisnika, njihova izloženost u velikim razmjerima povećava rizik.

• 3.500 milijardi brojeva je potvrđeno kao registrovano na WhatsAppu.
• 57% sa javno dostupnom profilnom slikom.
• 29% s pretraživim tekstom profila.

Prethodna upozorenja koja nisu blagovremeno uzete u obzir

Slabost nabrajanja nije bila sasvim nova: već 2017. godine, holandski istraživač Loran Kloeze Upozorio je da je moguće automatizirati provjeru brojeva i povezati ih s vidljivim podacima.To upozorenje je nagovijestilo trenutnu situaciju.

Bečov nedavni rad je tu ideju doveo do krajnosti i pokazao da ovisnost o telefonskom broju kao jedinstveni identifikator ostaje problematičanKako autori ističu, brojke Nisu dizajnirani da djeluju kao tajni podaci za prijavu.Ali u praksi oni ispunjavaju tu ulogu u mnogim uslugama.

Još jedan relevantan zaključak studije je da veliki dio ličnih podataka zadržava svoju vrijednost tokom vremena: Tim je otkrio da je 58% telefona otkriveno tokom curenja informacija s Facebooka 2021. godine I danas su aktivni na WhatsAppu., što olakšava korelacije i uporne kampanje.

Osim brojeva, Proces masovnog upita omogućio je zaključivanje određenih tehničkih metapodataka, kao što je vrsta klijenta ili operativnog sistema zaposlenika i prisutnost desktop verzija, što dodaje površinu za profiliranje.

Metin odgovor: ograničenja brzine i službeni stav

Istraživači Prijavili su nalaz Meti u aprilu i izbrisali generiranu bazu podataka nakon što su je validirali.Kompanija je, sa svoje strane, to implementirala u oktobru strože mjere ograničavanja stopa blokirati popisivanje velikih razmjera putem weba.

U izjavama poslanim specijaliziranim medijima, Meta je izrazila zahvalnost za obavještenje putem svog programa nagrade za neuspjeh Naglasio je da su prikazane informacije ono što je svaki korisnik konfigurirao kao vidljivo. Također je izjavio da nije pronašao dokaze o zlonamjernoj zloupotrebi ove metode.

Kompanija je insistirala da poruke su ostale zaštićene zbog end-to-end enkripcije i činjenice da nije pristupljeno nikakvim nejavnim podacima. Nije bilo naznaka da je kriptografski sistem provaljen.

Nakon nekoliko tehničkih sastanaka, WhatsApp je nagradio istraživanje sa 17.500 dolaraZa tim, proces je poslužio za mjerenje i testiranje efikasnosti novih odbrambenih mjera raspoređenih nakon obavještenja.

Pravi rizici: od prevare do ciljanja u zemljama sa zabranama

Pored tehničkih aspekata, glavni uticaj ove izloženosti je praktičan. Sa vidljivim brojem telefona i informacijama o profilu, sve postaje mnogo lakše. izgraditi kampanje socijalnog inženjeringa i ciljane prevare koje iskorištavaju kontekstualne informacije svake žrtve.

Istraživači su također identificirali milione aktivnih računa na teritorijama gdje je WhatsApp zabranjen, kao što su Kina, Iran ili MjanmarVidljivost ovih brojeva mogla bi imati lične ili pravne posljedice za korisnike u kontekstima visokog nadzora.

Masovna dostupnost važećih telefona poboljšava neželjena pošta, doxxing i phishing sa većim nivoom tačnosti, posebno kada profilna slika ili javni tekst pružaju tragove o identitetu, zaposlenju ili povezanim društvenim mrežama.

Vrijedi zapamtiti da, jednom kada se dodaju u ogromne baze podataka, informacije mogu cirkulirati godinama, kombinirajući se s drugim curenjima informacija... obogatiti profile i povećati efikasnost napada.

Evropa i Španija: zašto je to ovdje važno

U Španiji i ostatku EU, gdje je WhatsApp sveprisutan, izloženost informacijama u ovim razmjerima zabrinut zbog njegovog potencijalnog utjecaja na milioni korisnika i preduzećaIako je Meta ispravio metodu nabrajanja, incident ponovo otvara debatu o dizajnu koji se oslanja na telefonski broj.

Slučaj, u koji je uključen tim evropskog univerziteta, služi kao podsjetnik da čak i funkcije dizajnirane za praktičnost - poput trenutnog pronalaženja kontakata - Mogu postati vektori rizika ako nemaju čvrstu i kontinuirano provjeravan odbranu.

Također naglašava potrebu pažljivog konfiguriranja postavki privatnosti. Ako profilna slika ili javni tekst otkrivaju više informacija nego što je potrebno, njihova široka izloženost postaje multiplikator prijetnje za privatne i profesionalne korisnike.

Za evropske organizacije i administracije sa sigurnosnim obavezama, Ograničavanje vidljivosti podataka i jačanje internih procedura verifikacije izvan aplikacije pomaže u smanjiti površinu napada lažnog predstavljanja ili prevarnih kampanja.

Šta možete učiniti odmah

U nedostatku alternativnog identifikatora, Najbolja odbrana za korisnika uključuje prilagodite opcije privatnost profila i usvojite razumne navike u komunikaciji.

• Ograničite profilnu sliku i informacije na "Moji kontakti" ili "Niko".
• Izbjegavajte uključivanje osjetljivih podataka ili ličnih linkova u tekst statusa..
• Budite oprezni s neočekivanim porukama, čak i ako prikazuju vaše ime ili fotografiju.
• Provjerite sve hitne zahtjeve ili zahtjeve za plaćanje putem sekundarnog kanala.

Iako je specifičan put za masovno popisivanje zatvoren, ova epizoda dokazi da kombinacija javnih identifikatora i malih propusta u kontrolama može dovesti do ogromnih izloženostiSvođenje onoga što drugi mogu vidjeti s vašeg računa na minimum ograničava utjecaj budućih tehnika prikupljanja podataka.

Austrijsko istraživanje je pokazalo da Uobičajena funkcija bi se mogla iskoristiti na industrijskoj skali za validaciju milijardi brojeva i povezivanje vidljivih profila s njima.Meta je pooštrila ograničenja i tvrdi da nema dokaza o zloupotrebi, ali rizici socijalnog inženjeringaNalazi u zemljama sa zabranama i postojanošću podataka naglašavaju potrebu za preispitivanjem dizajna zasnovanog na telefonskim brojevima i podsticanjem strožih navika privatnosti među evropskim korisnicima.