WhatsApp: Ang usa ka sayup nagtugot sa pagkuha sa 3.500 bilyon nga numero ug data sa profile.

Ang usa ka akademikong imbestigasyon nagbutang sa usa ka spotlight depekto sa seguridad sa sistema sa pagdiskobre sa kontak WhatsApp, nga, kung gipahimuslan sa usa ka dako nga sukod, Gitugotan niini ang pag-verify sa mga numero sa telepono ug ang mass association sa profile data uban kanila.Ang pagpangita naghulagway kung giunsa ang usa ka naandan nga proseso sa app mahimong, kung gisubli sa usa ka dagan sa industriya, usa ka gigikanan sa pagkaladlad sa kasayuran.

Ang pagtuon, nga gipangulohan sa usa ka team gikan sa Unibersidad sa Vienna, nagpakita nga posible nga susihon ang paglungtad sa mga account alang sa binilyon nga mga kombinasyon sa numero pinaagi sa web nga bersyon, nga walay epektibo nga mga bloke sulod sa mga bulan. Sumala sa mga tagsulat, kung kana nga proseso wala pa gihimo nga responsable, maghisgot kami usa sa pinakadako nga data exposure nga nadokumento sukad.

Giunsa pagkahimo ang gintang: pag-ihap sa masa

Ang problema dili mahitungod sa paglapas sa encryption, apan mahitungod sa usa ka konsepto kahuyang: ang himan sa pagpangita sa kontak sa serbisyo. Gitugotan sa WhatsApp ang mga tiggamit sa pagsusi kung ang usa ka numero sa telepono narehistro; Ang pagsubli niini nga tseke awtomatiko ug sa usa ka dako nga sukod nagbukas sa pultahan sa global nga pagsubay.

Gigamit sa mga tigdukiduki sa Austrian ang web interface aron padayon nga sulayan ang mga numero, nga maabot usa ka gibanabana nga rate nga 100 milyon nga mga tseke matag oras nga walay bisan unsang epektibo nga mga limitasyon sa tulin sa panahon sa pag-analisar. Kana nga gidaghanon naghimo sa usa ka wala pa sukad nga pagkuha nga posible.

Ang resulta sa eksperimento mao ang conclusive: sila nakahimo sa pagkuha sa mga numero sa telepono gikan sa 3.500 bilyon nga mga account sa WhatsApp. Dugang pa, nakahimo sila sa pag-asoy sa publiko nga magamit nga datos sa profile alang sa usa ka hinungdanon nga bahin sa kana nga sample.

Sa piho, ang team nakamatikod niana Ang mga litrato sa profile na-access sa 57% sa mga kaso, ug ang mga teksto sa estado sa publiko o dugang nga kasayuran sa 29%.Bisan kung kini nga mga natad nagdepende sa pagsumpo sa matag tiggamit, ang ilang pagkaladlad sa sukod nagpadako sa peligro.

• 3.500 bilyon nga numero ang na-verify nga narehistro sa WhatsApp.
• 57% nga adunay accessible sa publiko nga hulagway sa profile.
• 29% nga adunay makit-an nga teksto sa profile.

Ang nag-una nga mga pasidaan nga wala gituman sa oras

Ang kahuyang sa pag-ihap dili bag-o: naa na sa 2017, ang Dutch nga tigdukiduki Loran Kloeze Gipasidan-an niya nga posible nga i-automate ang pagsusi sa mga numero ug i-associate kini sa makita nga datos.Ang maong pasidaan naglandong sa kahimtang karon.

Ang bag-o nga trabaho ni Vienna nagdala sa maong ideya sa hilabihan ug nagpakita nga pagdepende sa numero sa telepono ingon nga usa ka talagsaon nga identifier nagpabilin nga problemaIngon sa gipunting sa mga tagsulat, ang mga numero Wala sila gidesinyo nga molihok isip sekretong mga kredensyalApan sa praktis ilang gituman kana nga tahas sa daghang serbisyo.

Ang laing may kalabutan nga konklusyon sa pagtuon mao nga kadaghanan sa personal nga impormasyon nagpabilin ang bili niini sa paglabay sa panahon: Nahibal-an sa team nga 58% sa mga telepono nga na-expose sa 2021 Facebook leak Aktibo gihapon sila sa WhatsApp karon., nga nagpadali sa mga correlasyon ug padayon nga mga kampanya.

Gawas sa mga numero, Ang proseso sa pangmasang pangutana nagtugot sa pipila ka teknikal nga metadata nga mahibal-an, sama sa matang sa kliyente o operating system empleyado ug ang presensya sa mga bersyon sa desktop, nga nagdugang sa nawong nga lugar alang sa profiling.

Ang tubag ni Meta: mga limitasyon sa tulin ug opisyal nga baruganan

Ang mga tigdukiduki Gi-report nila ang pagpangita sa Meta kaniadtong Abril ug gitangtang ang nahimo nga database pagkahuman gi-validate kini.Ang kompanya, sa bahin niini, nagpatuman niini kaniadtong Oktubre mas estrikto nga mga lakang sa paglimit sa rate aron babagan ang dinagkong enumeration pinaagi sa web.

Sa mga pahayag nga gipadala sa mga pinasahi nga media outlet, ang Meta nagpahayag sa pasalamat alang sa pagpahibalo pinaagi sa programa niini sa mga ganti sa kapakyasan Iyang gipasiugda nga ang impormasyon nga gipakita mao ang gi-configure sa matag user nga makita. Gipahayag usab niya nga wala siyay nakit-an nga ebidensya sa malisyoso nga pag-abuso sa kini nga pamaagi.

Ang kompanya miinsister nga ang ang mga mensahe nagpabilin nga gipanalipdan tungod sa end-to-end encryption ug sa kamatuoran nga walay non-public data nga na-access. Walay timailhan nga ang cryptographic system nabuak.

Pagkahuman sa daghang mga teknikal nga miting, gigantihan sa WhatsApp ang panukiduki Dolyar nga 17.500Alang sa team, ang proseso nagsilbi sa pagsukod ug pagsulay sa pagkaepektibo sa bag-ong mga depensa nga gipakatap human sa pahibalo.

Tinuod nga mga risgo: gikan sa pagpanglimbong ngadto sa pag-target sa mga nasud nga adunay mga pagdili

Labaw sa mga teknikal nga aspeto, ang panguna nga epekto sa kini nga pagkaladlad praktikal. Uban sa usa ka numero sa telepono ug impormasyon sa profile nga makita, kini mahimong mas sayon. paghimo og mga kampanya sa social engineering ug gipuntirya nga mga scam nga nagpahimulos sa impormasyon sa konteksto sa matag biktima.

Giila usab sa mga tigdukiduki ang milyon-milyon nga aktibo nga mga account sa mga teritoryo diin gidili ang WhatsApp, sama sa China, Iran, o MyanmarAng visibility niini nga mga numero mahimong adunay personal o legal nga mga sangputanan alang sa mga tiggamit sa high-surveillance konteksto.

Ang kaylap nga pagkaanaa sa balido nga mga telepono nagpalambo sa spam, doxxing ug phishing nga adunay mas taas nga lebel sa katukma, labi na kung ang litrato sa profile o teksto sa publiko naghatag mga timailhan bahin sa pagkatawo, trabaho, o nalambigit nga mga social network.

Angayan nga hinumdoman nga, sa higayon nga idugang sa dagkong mga database, ang impormasyon mahimong mag-circulate sulod sa mga katuigan, nga maghiusa sa ubang mga pagtulo sa pagpalambo sa mga profile ug dugangan ang pagka-epektibo sa mga pag-atake.

Europe ug Spain: nganong importante kini dinhi

Sa Espanya ug sa ubang bahin sa EU, diin ang WhatsApp kay ubiquitous, ang pagkaladlad sa impormasyon niini nga sukdanan nabalaka bahin sa posibleng epekto niini sa milyon nga tiggamit ug negosyoBisan kung gitul-id sa Meta ang pamaagi sa pag-ihap, ang insidente nagbukas pag-usab sa debate bahin sa usa ka disenyo nga nagsalig sa numero sa telepono.

Ang kaso, nga naglambigit sa usa ka European university team, nagsilbi nga usa ka pahinumdom nga bisan ang mga feature nga gidisenyo alang sa kasayon—sama sa pagpangita dayon sa mga kontak— Mahimo silang mga vector sa peligro kung wala sila lig-on ug padayon nga napamatud-an nga mga depensa.

Gipasiugda usab niini ang panginahanglan nga i-configure pag-ayo ang mga setting sa pagkapribado. Kung ang litrato sa profile o teksto sa publiko nagpadayag daghang kasayuran kaysa kinahanglan, ang kaylap nga pagkaladlad niini mahimong usa ka pagpadaghan sa hulga alang sa pribado ug propesyonal nga tiggamit.

Alang sa mga organisasyon ug administrasyon sa Europe nga adunay mga obligasyon sa seguridad, Ang paglimit sa data visibility ug pagpalig-on sa internal nga mga pamaagi sa pag-verify sa gawas sa app makatabang sa pagpakunhod sa nawong sa pag-atake sa mga kampanya sa pagpangilad o pagpanglimbong.

Unsa ang imong mahimo karon?

Kung walay alternatibong identifier, Ang labing kaayo nga depensa alang sa tiggamit naglakip adjust mga kapilian pagkapribado sa profile ug mosagop ug maalamong mga batasan sa pagmemensahe.

• Limitahi ang litrato sa profile ug impormasyon sa "Akong mga kontak" o "Wala'y bisan kinsa".
• Likayi ang paglakip sa sensitibo nga datos o personal nga mga link sa imong status text..
• Pag-amping sa wala damha nga mga mensahe, bisan kung gipakita nila ang imong ngalan o litrato.
• I-verify ang bisan unsang dinalian o mga hangyo sa pagbayad pinaagi sa usa ka ikaduha nga channel.

Bisan kung ang piho nga agianan alang sa pag-ihap sa masa gisirhan, kini nga yugto ebidensiya nga ang kombinasyon sa mga publikong identifier ug gagmay nga mga oversights sa mga kontrol mahimong mosangpot sa dako kaayong exposuresAng pagtipig sa unsay makita sa uban sa imong account sa pinakagamay nga limitasyon sa epekto sa umaabot nga mga pamaagi sa pag-ani.

Gipakita kana sa panukiduki sa Austrian Ang usa ka sagad nga gimbuhaton mahimong mapahimuslan sa usa ka industriyal nga sukod aron ma-validate ang bilyon-bilyon nga mga numero ug i-associate ang makita nga mga profile sa kanila.Gipahugot sa Meta ang mga limitasyon ug gipadayon nga wala’y ebidensya sa pag-abuso, apan ang mga risgo sa social engineeringAng mga nahibal-an sa mga nasud nga adunay mga pagdili ug pagpadayon sa datos nagpasiugda sa panginahanglan nga repasohon ang disenyo nga nakabase sa numero sa telepono ug aron madasig ang labi ka estrikto nga pamatasan sa pagkapribado sa mga tiggamit sa Europa.

Alberto navarro

Usa ako ka mahiligon sa teknolohiya nga naghimo sa iyang "geek" nga interes nga usa ka propesyon. Gigugol nako ang sobra sa 10 ka tuig sa akong kinabuhi gamit ang labing bag-ong teknolohiya ug pag-usisa sa tanan nga mga klase sa mga programa tungod sa putli nga pagkamausisaon. Karon espesyalista na ako sa teknolohiya sa kompyuter ug mga dula sa video. Kini tungod kay sa sobra sa 5 ka tuig nagsulat ako alang sa lainlaing mga website sa teknolohiya ug mga dula sa video, nagmugna og mga artikulo nga nagtinguha sa paghatag kanimo sa impormasyon nga imong gikinahanglan sa usa ka pinulongan nga masabtan sa tanan.

Kung naa kay mga pangutana, ang akong kahibalo gikan sa tanan nga may kalabotan sa operating system sa Windows ingon man sa Android para sa mga mobile phone. Ug ang akong pasalig kanimo, andam ako kanunay nga mogahin og pipila ka minuto ug tabangan ka nga masulbad ang bisan unsang mga pangutana nga mahimo nimo sa niining kalibutan sa internet.