WhatsApp: Sebuah kelemahan memungkinkan ekstraksi 3.500 miliar nomor dan data profil.

Sebuah investigasi akademis telah menyoroti kelemahan keamanan dalam sistem penemuan kontak WhatsApp, yang jika dieksploitasi dalam skala besar, Hal ini memungkinkan verifikasi nomor telepon dan asosiasi massal data profil dengannya.Temuan ini menjelaskan bagaimana proses aplikasi rutin dapat menjadi, jika diulang pada kecepatan industri, sumber paparan informasi.

Penelitian yang dipimpin oleh tim dari Universitas Wina menunjukkan bahwa adalah mungkin untuk memeriksa keberadaan akun untuk miliaran kombinasi angka melalui versi web, tanpa pemblokiran efektif selama berbulan-bulan. Menurut penulis, jika proses itu tidak dilakukan secara bertanggung jawab, kita akan berbicara tentang salah satu paparan data terbesar yang pernah didokumentasikan.

Bagaimana kesenjangan ini muncul: pencacahan massal

Masalahnya bukan pada pemecahan enkripsi, tetapi pada kelemahan konseptual: alat pencarian kontak WhatsApp memungkinkan pengguna untuk memeriksa apakah nomor telepon terdaftar; pengulangan pemeriksaan ini secara otomatis dan dalam skala besar telah membuka pintu bagi pelacakan global.

Para peneliti Austria menggunakan antarmuka web untuk terus menguji angka-angka, mencapai perkiraan tingkat 100 juta cek per jam tanpa batas kecepatan efektif selama periode analisis. Volume tersebut memungkinkan ekstraksi yang belum pernah terjadi sebelumnya.

Hasil percobaannya konklusif: mereka mampu memperoleh nomor telepon dari 3.500 miliar akun dari WhatsApp. Selain itu, mereka dapat mengaitkan data profil yang tersedia untuk publik untuk sebagian besar sampel tersebut.

Secara khusus, tim mencatat bahwa Gambar profil diakses dalam 57% kasus, dan teks status publik atau informasi tambahan dalam 29%.Meskipun bidang-bidang ini bergantung pada konfigurasi masing-masing pengguna, paparannya dalam skala besar memperbesar risiko.

• 3.500 miliar nomor terverifikasi terdaftar di WhatsApp.
• 57% dengan gambar profil yang dapat diakses publik.
• 29% dengan teks profil yang dapat dicari.

Peringatan sebelumnya yang tidak diindahkan pada waktunya

Kelemahan enumerasi bukanlah hal yang sepenuhnya baru: sudah di 2017, peneliti Belanda Loran Kloeze Ia memperingatkan bahwa ada kemungkinan untuk mengotomatisasi pemeriksaan angka dan mengaitkannya dengan data yang terlihat.Peringatan itu merupakan gambaran situasi saat ini.

Karya terbaru Vienna membawa ide tersebut ke tingkat yang ekstrem dan menunjukkan bahwa ketergantungan pada nomor telepon sebagai pengenal unik masih bermasalahSeperti yang ditunjukkan oleh para penulis, angka-angka Mereka tidak dirancang untuk bertindak sebagai kredensial rahasiaNamun dalam praktiknya mereka memenuhi peran itu dalam banyak layanan.

Kesimpulan lain yang relevan dari penelitian ini adalah bahwa sebagian besar informasi pribadi tetap memiliki nilai seiring berjalannya waktu: Tim menemukan bahwa 58% ponsel yang terekspos dalam kebocoran Facebook tahun 2021 Mereka masih aktif di WhatsApp hingga saat ini., yang memfasilitasi korelasi dan kampanye berkelanjutan.

Selain angka-angka, Proses kueri massal memungkinkan metadata teknis tertentu untuk disimpulkan, seperti jenis klien atau sistem operasi karyawan dan kehadiran versi desktop, yang menambah area permukaan untuk pembuatan profil.

Tanggapan Meta: batas kecepatan dan sikap resmi

Penyelidik Mereka melaporkan temuan tersebut ke Meta pada bulan April dan menghapus basis data yang dihasilkan setelah memvalidasinya.Perusahaan, pada bagiannya, menerapkannya pada bulan Oktober langkah-langkah pembatasan tarif yang lebih ketat untuk memblokir penghitungan skala besar melalui web.

Dalam pernyataan yang dikirim ke outlet media khusus, Meta menyatakan rasa terima kasihnya atas pemberitahuan melalui programnya hadiah kegagalan Ia menekankan bahwa informasi yang ditampilkan adalah informasi yang telah dikonfigurasikan oleh setiap pengguna sebagai informasi yang terlihat. Ia juga menyatakan bahwa ia tidak menemukan bukti penyalahgunaan metode ini.

Perusahaan tersebut menegaskan bahwa pesan tetap terlindungi Berkat enkripsi ujung ke ujung dan fakta bahwa tidak ada data non-publik yang diakses, tidak ada indikasi bahwa sistem kriptografi telah dibobol.

Setelah beberapa kali pertemuan teknis, WhatsApp memberi penghargaan kepada penelitian tersebut dengan Dolar AS 17.500Bagi tim, proses tersebut berfungsi untuk mengukur dan menguji efektivitas pertahanan baru yang diterapkan setelah pemberitahuan.

Risiko nyata: dari penipuan hingga penargetan di negara-negara yang melarang

Di luar aspek teknis, dampak utama dari paparan ini bersifat praktis. Dengan nomor telepon dan informasi profil yang terlihat, semuanya menjadi jauh lebih mudah. membangun kampanye rekayasa sosial dan penipuan tertarget yang mengeksploitasi informasi kontekstual setiap korban.

Para peneliti juga mengidentifikasi jutaan akun aktif di wilayah-wilayah yang melarang WhatsApp, seperti Tiongkok, Iran, atau MyanmarVisibilitas angka-angka ini dapat menimbulkan konsekuensi pribadi atau hukum bagi pengguna dalam konteks pengawasan tinggi.

Ketersediaan ponsel yang valid dalam jumlah besar meningkatkan spam, doxxing, dan phishing dengan tingkat akurasi yang lebih tinggi, terutama ketika gambar profil atau teks publik memberikan petunjuk tentang identitas, pekerjaan, atau jaringan sosial yang terkait.

Perlu diingat bahwa, setelah ditambahkan ke dalam basis data besar, informasi dapat beredar selama bertahun-tahun, bercampur dengan kebocoran lainnya memperkaya profil dan meningkatkan efektivitas serangan.

Eropa dan Spanyol: mengapa hal ini penting di sini

Di Spanyol dan negara-negara Uni Eropa lainnya, di mana WhatsApp ada di mana-mana, paparan informasi dalam skala besar khawatir tentang dampak potensialnya terhadap jutaan pengguna dan bisnisMeskipun Meta mengoreksi metode enumerasi, insiden tersebut membuka kembali perdebatan tentang desain yang mengandalkan nomor telepon.

Kasus yang melibatkan tim universitas Eropa ini menjadi pengingat bahwa bahkan fitur yang dirancang untuk kenyamanan—seperti menemukan kontak secara instan— Mereka bisa menjadi vektor risiko jika tidak memiliki pertahanan yang solid dan terus diverifikasi..

Hal ini juga menyoroti perlunya mengonfigurasi pengaturan privasi dengan cermat. Jika foto profil atau teks publik mengungkapkan informasi lebih dari yang diperlukan, paparannya yang meluas menjadi pengganda ancaman untuk pengguna pribadi dan profesional.

Untuk organisasi dan administrasi Eropa dengan kewajiban keamanan, Membatasi visibilitas data dan memperkuat prosedur verifikasi internal di luar aplikasi membantu untuk mengurangi permukaan serangan peniruan identitas atau kampanye penipuan.

Apa yang dapat Anda lakukan sekarang

Jika tidak ada pengenal alternatif, Pertahanan terbaik bagi pengguna melibatkan sesuaikan opsi privasi profil dan mengadopsi kebiasaan penyampaian pesan yang bijaksana.

• Batasi gambar profil dan informasi ke “Kontak saya” atau “Tidak ada”.
• Hindari menyertakan data sensitif atau tautan pribadi dalam teks status Anda..
• Waspadalah terhadap pesan yang tidak terduga, meskipun pesan tersebut menampilkan nama atau foto Anda.
• Verifikasi permintaan mendesak atau pembayaran melalui saluran sekunder.

Meskipun jalur khusus untuk pencacahan massal telah ditutup, episode ini bukti bahwa kombinasi pengenal publik dan kelalaian kecil dalam kontrol dapat menyebabkan paparan yang sangat besarMenjaga agar hal yang orang lain dapat lihat pada akun Anda seminimal mungkin akan membatasi dampak teknik pemanenan di masa mendatang.

Penelitian Austria menunjukkan bahwa Fungsi umum dapat dimanfaatkan pada skala industri untuk memvalidasi miliaran angka dan mengaitkan profil yang terlihat dengannya.Meta telah memperketat batasan dan menyatakan bahwa tidak ada bukti penyalahgunaan, tetapi risiko rekayasa sosialTemuan di negara-negara dengan larangan dan persistensi data menyoroti perlunya meninjau desain berbasis nomor telepon dan mendorong kebiasaan privasi yang lebih ketat di antara pengguna Eropa.