WhatsApp: Akats batek 3.500 milioi zenbaki eta profil datuak ateratzea ahalbidetu zuen.

Ikerketa akademiko batek arreta jarri du kontaktuak aurkitzeko sisteman segurtasun akatsa WhatsApp, eskala handian ustiatzen denean, Telefono zenbakien egiaztapena eta profileko datuak haiekin masiboki lotzea ahalbidetu zuen.Aurkikuntzak deskribatzen du nola aplikazio-prozesu arrunt bat, erritmo industrialean errepikatzen bada, informazio-esposizio iturri bihur daitekeen.

Vienako Unibertsitateko talde batek zuzendutako ikerketak frogatu zuen posible zela kontuen existentzia egiaztatzea. milaka milioi zenbaki konbinazio web bertsioaren bidez, hilabeteetan bloke eraginkorrik gabe. Egileen arabera, prozesu hori arduraz egin izan ez balitz, honi buruz hitz egiten ariko ginateke inoiz dokumentatu den datu-esposizio handienetako bat.

Nola gauzatu zen hutsunea: zenbaketa masiboa

Arazoa ez zen enkriptazioa haustea, baizik eta ahultasun kontzeptual bat: kontaktuak bilatzeko tresna zerbitzuarena. WhatsApp-ek erabiltzaileei telefono-zenbaki bat erregistratuta dagoen egiaztatzeko aukera ematen die; egiaztapen hori automatikoki eta eskala handian errepikatzeak atea ireki dio jarraipen globalari.

Austriako ikertzaileek web interfazea erabili zuten zenbakiak etengabe probatzeko, lortuz orduko 100 milioi egiaztapeneko gutxi gorabeherako tasa aztertutako aldian abiadura-muga eraginkorrik gabe. Bolumen horrek aurrekaririk gabeko erauzketa posible egin zuen.

Esperimentuaren emaitza erabakigarria izan zen: lortu ahal izan zuten 3.500 milioi kontuetako telefono zenbakiak Whatsapp. Horrez gain, lagin horren zati esanguratsu baten profileko datuak publikoki eskuragarri lotu ahal izan zituzten.

Zehazki, taldeak adierazi zuen Kasuen % 57an profil-argazkiak eskuratu ziren, eta % 29an egoera publikoko testuak edo informazio gehigarria.Eremu hauek erabiltzaile bakoitzaren konfigurazioaren araberakoak diren arren, eskala handiko esposizioak arriskua areagotzen du.

• 3.500 milioi zenbaki egiaztatu dira WhatsApp-en erregistratuta.
• % 57k publikoki eskuragarri dagoen profileko argazkia dute.
• % 29k profil-testu bilagarriarekin.

Garaiz jaramonik egin ez zitzaien aurreko abisuei

Zenbaketaren ahultasuna ez zen guztiz berria: dagoeneko 2017an, ikertzaile herbeheretarra Loran Kloeze Zenbakien egiaztapena automatizatzea eta datu ikusgaiekin lotzea posible zela ohartarazi zuen.Abisu horrek egungo egoeraren iragarpena egin zuen.

Vienaren azken lanak ideia hori muturrera eraman zuen eta erakutsi zuen telefono zenbakiarekiko menpekotasuna identifikatzaile bakarra arazo bat izaten jarraitzen duelakoEgileek adierazi bezala, zenbakiak Ez daude kredentzial sekretu gisa jarduteko diseinatuta.Baina praktikan, zerbitzu askotan betetzen dute eginkizun hori.

Ikerketaren beste ondorio garrantzitsu bat da informazio pertsonal askok bere balioa mantentzen dutela denboran zehar: Taldeak aurkitu zuen 2021eko Facebook-eko filtrazioan telefonoen % 58 agerian geratu zirela. Gaur egun ere aktibo daude WhatsAppen., eta horrek korrelazioak eta kanpaina iraunkorrak errazten ditu.

Zenbakiez gain, Kontsulta masiboen prozesuak metadatu tekniko batzuk ondorioztatzea ahalbidetu zuenbera bezala bezero edo sistema eragile mota langilea eta mahaigaineko bertsioen presentzia, eta horrek profilak egiteko azalera gehitzen du.

Metaren erantzuna: abiadura mugak eta jarrera ofiziala

Ikertzaileak Apirilean jakinarazi zioten aurkikuntza Metari eta sortutako datu-basea ezabatu zuten balioztatu ondoren.Konpainiak, bere aldetik, urrian ezarri zuen tasak mugatzeko neurri zorrotzagoak webean zehar eskala handiko zenbaketa blokeatzeko.

Hedabide espezializatuei bidalitako adierazpenetan, Metak eskerrak eman zituen bere programaren bidezko jakinarazpenagatik. porrotaren sariak Azpimarratu zuen erakusten zen informazioa erabiltzaile bakoitzak ikusgai gisa konfiguratutakoa zela. Era berean, adierazi zuen ez zuela metodo honen gehiegikeria maltzurraren frogarik aurkitu.

Enpresak azpimarratu zuen mezuak babestuta mantendu ziren muturretik muturrerako enkriptazioaren ondorioz eta ez zen datu ez-publikoetara sartu. Ez zegoen sistema kriptografikoa hautsita zegoenik adierazten zuen inolako zantzurik.

Hainbat bilera tekniko egin ondoren, WhatsAppek ikerketa saritu zuen Dolarraren 17.500Taldearentzat, prozesuak jakinarazpenaren ondoren zabaldutako defentsa berrien eraginkortasuna neurtu eta probatzeko balio izan zuen.

Benetako arriskuak: iruzurretik hasi eta debekuak dituzten herrialdeetan erasoak jomugara arte

Alderdi teknikoez harago, esposizio honen eragin nagusia praktikoa da. Telefono zenbaki bat eta profileko informazioa ikusgai daudenean, askoz errazagoa da. gizarte-ingeniaritza kanpainak eraiki eta biktima bakoitzaren testuinguru-informazioa ustiatzen duten iruzur zuzenduak.

Ikertzaileek milioika kontu aktibo identifikatu zituzten WhatsApp debekatuta dagoen lurraldeetan, hala nola Txina, Iran edo MyanmarZenbaki hauen ikusgarritasunak ondorio pertsonalak edo legalak izan ditzake zaintza handiko testuinguruetan dauden erabiltzaileentzat.

Telefono baliodunen eskuragarritasun masiboak hobetzen du spama, doxxing-a eta phishing-a zehaztasun maila handiagoarekin, batez ere profileko argazkiak edo testu publikoak identitateari, enpleguari edo lotutako sare sozialei buruzko pistak ematen dituenean.

Gogoratu behar da, datu-base erraldoietara gehitu ondoren, informazioa urteetan zehar zirkula daitekeela, beste ihes batzuekin konbinatuz. profilak aberastu eta erasoen eraginkortasuna handitu.

Europa eta Espainia: zergatik den garrantzitsua hemen

Espainian eta EBko gainerako herrialdeetan, WhatsApp nonahi dagoen lekuetan, informazioaren eskala honetako esposizioa izan dezakeen eraginagatik kezkatuta milioika erabiltzaile eta enpresaMetak zenbaketa-metodoa zuzendu bazuen ere, gertakariak telefono-zenbakian oinarritutako diseinu bati buruzko eztabaida berriro irekitzen du.

Europako unibertsitate-talde bati buruzko kasuak gogorarazten digu erosotasunerako diseinatutako funtzioek ere —adibidez, kontaktuak berehala aurkitzea— Arrisku bektore bihur daitezke defentsa sendo eta etengabe egiaztatuak ez badituzte..

Pribatutasun-ezarpenak arretaz konfiguratzeko beharra ere azpimarratzen du. Profil-argazkiak edo testu publikoak behar baino informazio gehiago agerian uzten badu, haren esposizio zabala arazo bihurtzen da. mehatxu biderkatzailea erabiltzaile pribatu eta profesionalentzat.

Segurtasun-betebeharrak dituzten Europako erakunde eta administrazioentzat, Datuen ikusgarritasuna mugatzeak eta aplikaziotik kanpoko barne egiaztapen prozedurak indartzeak laguntzen du eraso-azalera murriztu pertsonatzearen edo iruzur kanpainen bidez.

Zer egin dezakezu oraintxe bertan?

Identifikatzaile alternatiborik ezean, Erabiltzailearentzako defentsa onena honako hau da: aukerak egokitu profilaren pribatutasuna eta mezularitza ohitura zuhurrak hartu.

• Mugatu profileko argazkia eta informazioa "Nire kontaktuak" edo "Inor ez" atalera.
• Saihestu datu sentikorrak edo esteka pertsonalak zure egoera-testuan sartzea..
• Kontuz mezu ustekabeekin, zure izena edo argazkia agertzen badira ere.
• Egiaztatu edozein premiazko edo ordainketa eskaera bigarren mailako kanal baten bidez.

Zenbaketa masiborako bide espezifikoa itxi den arren, atal hau identifikatzaile publikoen eta kontroletan hutsegite txikien konbinazioak arrisku handiak ekar ditzakeela frogatzen duen ebidentziaZure kontuaren besteek ikus dezaketena ahalik eta txikiena izateak etorkizuneko uzta tekniken eragina mugatzen du.

Austriako ikerketak erakutsi zuen Funtzio komun bat eskala industrialean ustia liteke milaka milioi zenbaki balioztatzeko eta ikusgai dauden profilak haiekin lotzeko.Metak mugak estutu ditu eta tratu txarren frogarik ez dagoela dio, baina gizarte-ingeniaritzako arriskuakDebekuak eta datuen iraunkortasuna dituzten herrialdeetako emaitzek telefono-zenbakietan oinarritutako diseinua berrikusi eta Europako erabiltzaileen artean pribatutasun-ohitura zorrotzagoak sustatzeko beharra azpimarratzen dute.