- Undersykers yn Wenen hawwe de massa-optelling fan nûmers op WhatsApp op wrâldwide skaal demonstrearre.
- 3.500 miljard nûmers waarden krigen, profylfoto's yn 57% en iepenbiere tekstberjochten yn 29%.
- Meta hat yn oktober snelheidsgrinzen ynfierd en beweart dat berjochtfersleuteling net beynfloede is.
- It risiko omfettet rjochte oplichting en bleatstelling yn lannen dêr't WhatsApp ferbean is.
In akademysk ûndersyk hat de oandacht lûke litten feiligensfout yn it kontaktûntdekkingssysteem WhatsApp, dat, as it op grutte skaal misbrûkt wurdt, It makke de ferifikaasje fan tillefoannûmers en de massa-assosjaasje fan profylgegevens mei har mooglik.De fynst beskriuwt hoe't in routine app-proses, as it yn in yndustrieel tempo werhelle wurdt, in boarne fan ynformaasjebleatstelling wurde kin.
De stúdzje, laat troch in team fan 'e Universiteit fan Wenen, liet sjen dat it mooglik wie om it bestean fan akkounts te kontrolearjen foar miljarden fan nûmerkombinaasjes fia de webferzje, sûnder effektive blokkades foar moannen. Neffens de auteurs soene wy prate oer as dat proses net ferantwurde útfierd wie ien fan 'e grutste gegevensbleatstellingen ea dokumintearre.
Hoe't de gat ûntstie: massa-enumeraasje
It probleem gie net oer it brekken fan 'e fersifering, mar oer in konseptuele swakte: de kontakt sykje ark fan 'e tsjinst. WhatsApp lit brûkers kontrolearje oft in tillefoannûmer registrearre is; it automatysk en op grutte skaal werheljen fan dizze kontrôle hat de doar iepene foar wrâldwide tracking.
De Eastenrykske ûndersikers brûkten de webinterface om sifers kontinu te testen, en berikten in sawat taryf fan 100 miljoen kontrôles per oere sûnder effektive snelheidsbeperkingen yn 'e analysearre perioade. Dat folume makke in noch nea earder sjoen ekstraksje mooglik.
It resultaat fan it eksperimint wie beslissend: se koenen de tillefoannûmers fan 3.500 miljard akkounts fan WhatsApp. Derneist koene se iepenbier beskikbere profylgegevens assosjearje foar in wichtich diel fan dy stekproef.
Spesifyk merkte it team op dat Yn 57% fan 'e gefallen waarden profylfoto's tagong, en yn 29% fan 'e gefallen iepenbiere statusberjochten of ekstra ynformaasje.Hoewol dizze fjilden ôfhinklik binne fan 'e konfiguraasje fan elke brûker, fergruttet har bleatstelling op skaal it risiko.
- 3.500 miljard nûmers ferifiearre as registrearre op WhatsApp.
- 57% mei in iepenbier tagonklike profylfoto.
- 29% mei trochsykbere profyltekst.
Eardere warskôgings dy't net op 'e tiid yn acht nommen waarden
De swakte fan enumeraasje wie net hielendal nij: al yn 2017, de Nederlânske ûndersiker Loran Kloeze Hy warskôge dat it mooglik wie om it kontrolearjen fan sifers te automatisearjen en se te assosjearjen mei sichtbere gegevens.Dy warskôging foarsei de hjoeddeiske situaasje.
It resinte wurk fan Wenen naam dat idee ta it uterste en liet sjen dat ôfhinklikens fan it tillefoannûmer as in unike identifier bliuwt problematyskLykas de auteurs oanjaan, binne de sifers Se binne net ûntworpen om te fungearjen as geheime bewiisbrievenMar yn 'e praktyk ferfolje se dy rol yn in protte tsjinsten.
In oare relevante konklúzje fan 'e stúdzje is dat in protte fan 'e persoanlike ynformaasje syn wearde yn 'e rin fan 'e tiid behâldt: It team fûn dat 58% fan 'e tillefoans dy't bleatlein waarden yn it Facebook-lek fan 2021 Se binne hjoed de dei noch aktyf op WhatsApp., wat korrelaasjes en oanhâldende kampanjes fasilitearret.
Neist de sifers, It massale queryproses liet ta dat bepaalde technyske metadata ôflaat wurde koene, lykas de type kliïnt of bestjoeringssysteem meiwurker en de oanwêzigens fan buroblêdferzjes, wat oerflak tafoeget foar profilearjen.
Meta's antwurd: snelheidsgrinzen en offisjeel stânpunt
Undersikers Se rapportearren de fynst yn april oan Meta en wisken de generearre database nei't se it validearre hiene.It bedriuw, fan syn kant, ymplementearre it yn oktober strangere maatregels foar it beheinen fan tariven om grutskalige optelling fia it web te blokkearjen.
Yn ferklearrings dy't nei spesjalisearre mediakanalen stjoerd waarden, útdrukte Meta tankberens foar de notifikaasje fia har programma fan mislearringsbeleanningen Hy beklamme dat de werjûne ynformaasje wie wat elke brûker as sichtber ynsteld hie. Hy stelde ek dat hy gjin bewiis fûn hie fan kwea-aardich misbrûk fan dizze metoade.
It bedriuw stie derop dat de berjochten bleaune beskerme fanwegen end-to-end fersifering en it feit dat der gjin net-iepenbiere gegevens tagonklik wiene. Der wie gjin oanwizing dat it kryptografyske systeem brutsen wie.
Nei ferskate technyske gearkomsten beleanne WhatsApp it ûndersyk mei 17.500 dollarFoar it team tsjinne it proses om de effektiviteit fan 'e nije ferdigeningswurken dy't nei de notifikaasje ynset waarden te mjitten en te testen.
Echte risiko's: fan fraude oant targeting yn lannen mei ferbod
Utsein de technyske aspekten is de wichtichste ynfloed fan dizze bleatstelling praktysk. Mei in tillefoannûmer en profylynformaasje sichtber wurdt it folle makliker. sosjale yngenieurskampanjes bouwe en rjochte oplichting dy't de kontekstuele ynformaasje fan elk slachtoffer eksploitearje.
De ûndersikers identifisearren ek miljoenen aktive akkounts yn gebieten dêr't WhatsApp ferbean is, lykas Sina, Iran, of MyanmarDe sichtberens fan dizze nûmers kin persoanlike of juridyske gefolgen hawwe foar brûkers yn konteksten mei hege tafersjoch.
De massale beskikberens fan jildige tillefoans fergruttet de spam, doxing en phishing mei in hegere mjitte fan krektens, foaral as de profylfoto of iepenbiere tekst oanwizings jout oer identiteit, wurkgelegenheid of keppele sosjale netwurken.
It is it wurdich te ûnthâlden dat, as ynformaasje ienris tafoege is oan enoarme databases, it jierrenlang kin sirkulearje, yn kombinaasje mei oare lekken om ferrike profilen en de effektiviteit fan 'e oanfallen fergrutsje.
Europa en Spanje: wêrom't it hjir wichtich is
Yn Spanje en de rest fan 'e EU, dêr't WhatsApp oeral oanwêzich is, is de bleatstelling fan ynformaasje op dizze skaal soargen oer de mooglike ynfloed dêrfan op miljoenen brûkers en bedriuwenHoewol Meta de optelmetoade korrizjeare hat, iepenet it ynsidint it debat opnij oer in ûntwerp dat fertrout op it tillefoannûmer.
De saak, dêr't in team fan Jeropeeske universiteiten oan meiwurke hat, tsjinnet as in oantinken dat sels funksjes dy't ûntworpen binne foar gemak - lykas it direkt finen fan kontakten - Se kinne risikofektoaren wurde as se gjin solide en kontinu ferifiearre ferdigeningswurken hawwe.
It beklammet ek de needsaak om privacy-ynstellingen soarchfâldich te konfigurearjen. As de profylfoto of iepenbiere tekst mear ynformaasje iepenbieret as nedich, wurdt de wiidfersprate bleatstelling dêrfan in bedrigingfermannichfâldiger foar partikuliere en profesjonele brûkers.
Foar Jeropeeske organisaasjes en administraasjes mei feiligensferplichtingen, It beheinen fan gegevenssichtberens en it fersterkjen fan ynterne ferifikaasjeprosedueres bûten de app helpt om ferminderje it oanfalsflak fan imitaasje- of fraudekampanjes.
Wat kinne jo no direkt dwaan?
By it ûntbrekken fan in alternative identifier, De bêste ferdigening foar de brûker giet oer oanpasse de opsjes profyl privacy en foarsichtige berjochtgewoanten oannimme.
- Beheine profylfoto en ynformaasje ta "Myn kontakten" of "Nimmen".
- Foarkom it opnimmen fan gefoelige gegevens of persoanlike keppelings yn jo statustekst..
- Wês foarsichtich mei ûnferwachte berjochten, sels as se jo namme of foto sjen litte.
- Ferifiearje alle driuwende of betellingsfersyk fia in sekundêr kanaal.
Hoewol't de spesifike wei foar massa-enumeraasje sluten is, dizze ôflevering bewiis dat de kombinaasje fan iepenbiere identifikaasjes en lytse tafersjoch yn kontrôles kin liede ta enoarme bleatstellingenIt minimalisearjen fan wat oaren fan jo akkount kinne sjen, beheint de ynfloed fan takomstige rispingetechniken.
Eastenryksk ûndersyk hat oantoand dat In mienskiplike funksje koe op yndustriële skaal brûkt wurde om miljarden sifers te falidearjen en sichtbere profilen deroan te keppeljen.Meta hat de grinzen oanskerpe en hâldt fol dat der gjin bewiis is fan misbrûk, mar de risiko's fan sosjale yngenieurskunstDe befiningen yn lannen mei ferboden en datapersistinsje beklamje de needsaak om it ûntwerp op basis fan tillefoannûmers te besjen en strangere privacygewoanten ûnder Jeropeeske brûkers oan te moedigjen.
Ik bin in technology-entûsjast dy't syn "geek" ynteresses hat omset yn in berop. Ik haw mear as 10 jier fan myn libben bestege oan it brûken fan moderne technology en oan allerhande programma's út pure nijsgjirrigens te tinken. No haw ik my spesjalisearre yn kompjûtertechnology en fideospultsjes. Dit is om't ik mear dan 5 jier wurke oan skriuwen foar ferskate websiden oer technology en fideospultsjes, artikels oanmeitsje dy't besykje jo de ynformaasje te jaan dy't jo nedich binne yn in taal dy't elkenien begrypt.
As jo fragen hawwe, rint myn kennis fan alles relatearre oan it Windows-bestjoeringssysteem as Android foar mobile tillefoans. En myn ynset is foar jo, ik bin altyd ree om in pear minuten te besteegjen en jo te helpen mei it oplossen fan alle fragen dy't jo hawwe yn dizze ynternetwrâld.