WhatsApp: 결함으로 인해 3.500억 개의 전화번호와 프로필 데이터가 추출되었습니다.

학술 조사에서 주목을 받았습니다. 연락처 검색 시스템의 보안 결함 대규모로 악용될 경우 WhatsApp은 이를 통해 전화번호 검증과 프로필 데이터의 대량 연관이 가능해졌습니다.이 연구 결과는 일상적인 앱 프로세스가 산업적 속도로 반복될 경우 정보 노출의 원천이 될 수 있음을 설명합니다.

비엔나 대학의 팀이 주도한 이 연구는 계정의 존재 여부를 확인할 수 있음을 보여주었습니다. 수십억 개의 숫자 조합 웹 버전을 통해 몇 달 동안 효과적인 차단 없이 진행되었습니다. 저자들에 따르면, 만약 그 과정이 책임감 있게 진행되지 않았다면 우리는 다음과 같은 상황에 처했을 것입니다. 지금까지 기록된 가장 큰 데이터 노출 중 하나.

격차가 어떻게 실현되었는가: 대량 열거

문제는 암호화를 해독하는 것이 아니라 개념적 약점에 관한 것이었습니다. 연락처 검색 도구 서비스의. WhatsApp을 사용하면 사용자가 전화번호가 등록되어 있는지 확인할 수 있습니다. 이 확인을 자동으로 대규모로 반복함으로써 전 세계적인 추적이 가능해졌습니다.

오스트리아 연구원들은 웹 인터페이스를 사용하여 지속적으로 숫자를 테스트하여 시간당 약 100억 건의 확인 속도 분석 기간 동안 효과적인 속도 제한이 없었습니다. 그 양 덕분에 전례 없는 추출이 가능했습니다.

실험 결과는 결정적이었습니다. 그들은 다음을 얻을 수 있었습니다. 3.500억 개 계정의 전화번호 WhatsApp의. 또한 그들은 해당 샘플의 상당 부분에 대한 공개적으로 이용 가능한 프로필 데이터를 연관시킬 수 있었습니다.

구체적으로 팀은 다음을 언급했습니다. 57%의 사례에서 프로필 사진에 접근했고, 29%의 사례에서 공개 상태 텍스트나 추가 정보에 접근했습니다.이러한 필드는 각 사용자의 구성에 따라 달라지지만, 대규모로 노출되면 위험이 커집니다.

• WhatsApp에 등록된 번호가 3.500억 개 확인되었습니다.
• 57%가 공개적으로 접근 가능한 프로필 사진을 가지고 있습니다.
• 검색 가능한 프로필 텍스트가 있는 사람은 29%입니다.

시간 내에 무시된 사전 경고

열거의 약점은 전혀 새로운 것이 아니었습니다. 이미 2017 년, 네덜란드 연구자 로란 클로제 그는 숫자 확인을 자동화하고 이를 눈에 보이는 데이터와 연관시키는 것이 가능하다고 경고했습니다.그 경고는 현재 상황을 예고했습니다.

Vienna의 최근 작업은 그 아이디어를 극단으로 끌어올렸습니다. 그것을 보여주었다 전화번호에 대한 의존성 고유 식별자로 사용하는 것은 여전히 ​​문제가 있습니다.저자들이 지적했듯이 숫자는 이는 비밀 자격 증명으로 작동하도록 설계되지 않았습니다.하지만 실제로 그들은 많은 서비스에서 그 역할을 수행합니다.

이 연구의 또 다른 관련 결론은 개인 정보의 상당 부분이 시간이 지나도 가치를 유지한다는 것입니다. 연구팀은 2021년 페이스북 유출 사건에서 노출된 휴대전화의 58%가 그들은 오늘날에도 여전히 WhatsApp에서 활동하고 있습니다.이를 통해 상관관계와 지속적인 캠페인이 용이해집니다.

숫자 외에도, 대량 쿼리 프로세스를 통해 특정 기술 메타데이터를 추론할 수 있습니다.,처럼 클라이언트 또는 운영 체제 유형 직원과 데스크톱 버전이 존재하여 프로파일링을 위한 표면적을 늘릴 수 있습니다.

메타의 대응: 속도 제한과 공식 입장

연구원 그들은 4월에 해당 결과를 메타에 보고했고, 검증 후 생성된 데이터베이스를 삭제했습니다.회사는 이를 10월에 구현했습니다. 더 엄격한 요금 제한 조치 웹을 통한 대규모 열거를 차단합니다.

Meta는 전문 매체에 보낸 성명에서 자사 프로그램을 통한 통지에 대해 감사를 표했습니다. 실패 보상 그는 표시된 정보가 각 사용자가 표시되도록 설정한 정보라고 강조했습니다. 또한 이 방법이 악의적으로 남용되었다는 증거는 발견되지 않았다고 밝혔습니다.

회사는 다음과 같이 주장했습니다. 메시지는 보호된 상태로 유지되었습니다. 종단 간 암호화가 적용되었고 비공개 데이터에 접근하지 않았기 때문입니다. 암호화 시스템이 손상되었다는 징후는 없었습니다.

여러 차례의 기술 회의 후 WhatsApp은 다음과 같은 연구 결과를 보상했습니다. 달러 17.500팀의 경우, 이 프로세스는 알림 이후 배치된 새로운 방어 시스템의 효과를 측정하고 테스트하는 데 도움이 되었습니다.

실제 위험: 사기부터 금지 국가 타겟팅까지

기술적인 측면을 넘어, 이러한 노출의 주요 효과는 실질적인 측면입니다. 전화번호와 프로필 정보가 공개되면 훨씬 더 쉬워집니다. 소셜 엔지니어링 캠페인 구축 각 피해자의 상황적 정보를 악용하는 표적형 사기.

연구원들은 또한 WhatsApp이 금지된 지역에서 수백만 개의 활성 계정을 식별했습니다. 중국, 이란, 미얀마이러한 숫자가 노출되면 고도의 감시 환경에서 사용자에게 개인적 또는 법적 결과가 초래될 수 있습니다.

유효한 전화의 대량 공급은 다음을 향상시킵니다. 스팸, 폭로, 피싱 특히 프로필 사진이나 공개 텍스트가 신원, 직업 또는 연결된 소셜 네트워크에 대한 단서를 제공하는 경우 정확도가 더 높습니다.

정보가 거대한 데이터베이스에 추가되면 다른 누출과 결합하여 수년간 순환될 수 있다는 점을 기억하는 것이 좋습니다. 프로필을 풍부하게 하다 공격의 효과를 높입니다.

유럽과 스페인: 여기서 중요한 이유

WhatsApp이 널리 사용되는 스페인과 EU의 나머지 지역에서는 이 규모의 정보 노출이 그것이 미치는 잠재적 영향에 대해 우려하고 있습니다 수백만 명의 사용자와 기업메타가 열거 방식을 수정했지만, 이 사건으로 인해 전화번호에 의존하는 디자인에 대한 논쟁이 다시 불거졌습니다.

유럽 ​​대학 팀과 관련된 이 사례는 연락처를 즉시 찾는 것과 같이 편의성을 위해 설계된 기능조차도 견고하고 지속적으로 검증된 방어수단이 없다면 위험의 매개체가 될 수 있습니다..

또한 개인정보 보호 설정을 신중하게 구성해야 할 필요성을 강조합니다. 프로필 사진이나 공개 텍스트에 필요 이상의 정보가 노출되면 광범위한 노출이 발생할 수 있습니다. 위협 배수 개인 및 전문가 사용자용.

보안 의무가 있는 유럽 조직 및 행정부의 경우 앱 외부에서 데이터 가시성을 제한하고 내부 검증 절차를 강화하면 도움이 됩니다. 공격 표면을 줄이세요 사칭이나 사기 캠페인.

지금 당장 할 수 있는 일

대체 식별자가 없는 경우 사용자를 위한 최상의 방어에는 다음이 포함됩니다. 옵션을 조정하다 프로필 개인정보 보호 그리고 신중한 메시지 전달 습관을 채택하세요.

• 프로필 사진 및 정보를 "내 연락처" 또는 "아무도 없음"으로 제한합니다..
• 상태 메시지에 민감한 데이터나 개인 링크를 포함하지 마세요..
• 이름이나 사진이 표시되어 있어도 예상치 못한 메시지에는 주의하세요..
• 긴급 요청이나 지불 요청은 보조 채널을 통해 확인하세요..

대량 조사에 대한 구체적인 경로는 폐쇄되었지만 이 에피소드는 공개 식별자와 통제의 사소한 실수가 결합되면 엄청난 노출로 이어질 수 있다는 증거다른 사람이 귀하의 계정을 볼 수 있는 부분을 최소한으로 유지하면 향후 수집 기술의 영향을 제한할 수 있습니다.

오스트리아의 연구에 따르면 공통적인 기능을 산업적 규모로 활용하면 수십억 개의 숫자를 검증하고 이에 눈에 보이는 프로필을 연관시킬 수 있습니다.Meta는 제한을 강화했으며 남용의 증거가 없다고 주장하지만 사회 공학 위험금지 조치와 데이터 지속성을 적용하는 국가에서 조사된 결과는 전화번호 기반 설계를 검토하고 유럽 사용자들에게 더 엄격한 개인정보 보호 습관을 장려할 필요성을 강조합니다.