„WhatsApp“: klaida leido išgauti 3.500 milijardo numerių ir profilio duomenų.

Akademinis tyrimas atkreipė dėmesį į kontaktų paieškos sistemos saugumo spraga „WhatsApp“, kuriuo, išnaudojus dideliu mastu, Tai leido patikrinti telefono numerius ir masiškai susieti profilio duomenis su jais.Šis atradimas apibūdina, kaip įprastas programėlės procesas, kartojamas pramoniniu tempu, gali tapti informacijos atskleidimo šaltiniu.

Vienos universiteto komandos atliktas tyrimas parodė, kad įmanoma patikrinti sąskaitų egzistavimą. milijardai skaičių kombinacijų per internetinę versiją, be veiksmingų blokų mėnesius. Pasak autorių, jei šis procesas nebūtų atliktas atsakingai, kalbėtume apie vienas didžiausių kada nors dokumentuotų duomenų nutekėjimų.

Kaip atsirado spraga: masinis surašymas

Problema buvo ne šifravimo nulaužimas, o konceptualus trūkumas: kontaktų paieškos įrankis paslaugos. „WhatsApp“ leidžia vartotojams patikrinti, ar telefono numeris yra užregistruotas; šio patikrinimo automatinis ir didelio masto kartojimas atvėrė duris pasauliniam sekimui.

Austrijos tyrėjai naudojo žiniatinklio sąsają, kad nuolat testuotų skaičius ir pasiektų maždaug 100 milijonų patikrinimų per valandą be jokių efektyvių greičio apribojimų analizuojamu laikotarpiu. Toks tūris leido atlikti precedento neturintį gavybą.

Eksperimento rezultatas buvo įtikinamas: jiems pavyko gauti telefono numeriai iš 3.500 milijardo paskyrų iš „WhatsApp“. Be to, jie galėjo susieti viešai prieinamus profilio duomenis su didele tos imties dalimi.

Konkrečiai, komanda atkreipė dėmesį, kad Profilio nuotraukos buvo pasiekiamos 57 % atvejų, o viešos būsenos tekstai ar papildoma informacija – 29 %.Nors šie laukai priklauso nuo kiekvieno vartotojo konfigūracijos, jų poveikis dideliu mastu padidina riziką.

• 3.500 milijardo numerių patvirtinta kaip užregistruota „WhatsApp“.
• 57 % su viešai prieinama profilio nuotrauka.
• 29 % su ieškomu profilio tekstu.

Ankstesni įspėjimai, į kuriuos nebuvo laiku atsižvelgta

Sąrašo trūkumas nebuvo visiškai naujas: jau 2017 m, olandų tyrėjas Loranas Kloeze Jis perspėjo, kad galima automatizuoti skaičių tikrinimą ir susieti juos su matomais duomenimis.Tas perspėjimas numatė dabartinę situaciją.

Naujausi Vienos darbai šią idėją išplėtojo iki kraštutinumų ir parodė, kad priklausomybė nuo telefono numerio kaip unikalus identifikatorius išlieka problemiškasKaip pažymi autoriai, skaičiai Jie nėra skirti veikti kaip slapti įgaliojimaiTačiau praktiškai jie atlieka tą vaidmenį daugelyje paslaugų.

Kita svarbi tyrimo išvada yra ta, kad didelė dalis asmeninės informacijos išlaiko savo vertę laikui bėgant: Komanda nustatė, kad 58 proc. telefonų, kurie buvo atskleisti 2021 m. nutekėjus „Facebook“, Jie vis dar aktyvūs „WhatsApp“ programėlėje., o tai palengvina koreliacijas ir nuolatines kampanijas.

Be skaičių, Masinės užklausos procesas leido nustatyti tam tikrus techninius metaduomenis, kaip ir kliento arba operacinės sistemos tipas darbuotojo ir darbalaukio versijų buvimas, kuris padidina profiliavimo paviršiaus plotą.

„Meta“ atsakymas: greičio apribojimai ir oficiali pozicija

Mokslininkai Jie pranešė apie radinį „Meta“ balandžio mėnesį ir, patvirtinę sugeneruotą duomenų bazę, ją ištrynė.Savo ruožtu bendrovė tai įgyvendino spalio mėnesį. griežtesnės tarifų ribojimo priemonės blokuoti didelio masto surašymą internetu.

Specializuotoms žiniasklaidos priemonėms išsiųstuose pareiškimuose „Meta“ išreiškė padėką už pranešimą per savo programą nesėkmės atlygiai Jis pabrėžė, kad rodoma informacija buvo ta, kurią kiekvienas vartotojas buvo sukonfigūravę kaip matomą. Jis taip pat teigė, kad nerado jokių piktavališko šio metodo naudojimo įrodymų.

Bendrovė tvirtino, kad žinutės liko apsaugotos dėl ištisinio šifravimo ir to, kad nebuvo pasiekta jokių viešai neatskleistų duomenų. Nebuvo jokių požymių, kad kriptografinė sistema būtų pažeista.

Po kelių techninių susitikimų „WhatsApp“ apdovanojo tyrimą 17.500 USDKomandai šis procesas padėjo įvertinti ir patikrinti naujų gynybos priemonių, įdiegtų po pranešimo, efektyvumą.

Reali rizika: nuo sukčiavimo iki taikymosi šalyse, kuriose galioja draudimai

Be techninių aspektų, pagrindinis šio poveikio aspektas yra praktinis. Matant telefono numerį ir profilio informaciją, viskas tampa daug paprasčiau. kurti socialinės inžinerijos kampanijas ir tikslines sukčiavimo schemas, kurios išnaudoja kiekvienos aukos kontekstinę informaciją.

Tyrėjai taip pat nustatė milijonus aktyvių paskyrų teritorijose, kuriose „WhatsApp“ yra uždraustas, pavyzdžiui, Kinija, Iranas arba MianmarasŠių skaičių matomumas gali turėti asmeninių ar teisinių pasekmių vartotojams griežto stebėjimo kontekste.

Didelis galiojančių telefonų prieinamumas pagerina šlamštas, doksavimas ir sukčiavimas su didesniu tikslumu, ypač kai profilio nuotrauka ar viešas tekstas suteikia užuominų apie tapatybę, darbą ar susietus socialinius tinklus.

Verta prisiminti, kad įtraukus informaciją į didžiules duomenų bazes, ji gali cirkuliuoti metų metus, kartu su kitais nutekėjimais. praturtinti profilius ir padidinti atakų efektyvumą.

Europa ir Ispanija: kodėl tai čia svarbu

Ispanijoje ir likusioje ES dalyje, kur „WhatsApp“ yra visur paplitęs, tokio masto informacijos atskleidimas susirūpinęs dėl galimo poveikio milijonai vartotojų ir įmoniųNors „Meta“ pataisė išvardijimo metodą, šis incidentas vėl atveria diskusijas apie dizainą, kuris remiasi telefono numeriu.

Šis atvejis, kuriame dalyvavo Europos universiteto komanda, primena, kad net ir patogumui sukurtos funkcijos, pavyzdžiui, akimirksniu randami kontaktai, Jie gali tapti rizikos vektoriais, jei neturi tvirtų ir nuolat patikrinamų apsaugos priemonių..

Taip pat pabrėžiama, kad reikia atidžiai konfigūruoti privatumo nustatymus. Jei profilio nuotrauka ar viešas tekstas atskleidžia daugiau informacijos nei būtina, jos platus atskleidimas tampa problema. grėsmės daugiklis privatiems ir profesionaliems vartotojams.

Europos organizacijoms ir administracijoms, turinčioms saugumo įsipareigojimų, Duomenų matomumo ribojimas ir vidinių patvirtinimo procedūrų, esančių už programėlės ribų, stiprinimas padeda sumažinti atakos paviršių apsimetinėjimo ar sukčiavimo kampanijų.

Ką galite padaryti dabar

Nesant alternatyvaus identifikatoriaus, Geriausia vartotojo apsauga apima pakoreguoti parinktis profilio privatumas ir išsiugdykite apdairus susirašinėjimo įpročius.

• Apriboti profilio nuotrauką ir informaciją iki „Mano kontaktai“ arba „Niekas“.
• Į savo būsenos tekstą venkite įtraukti neskelbtinų duomenų ar asmeninių nuorodų..
• Būkite atsargūs dėl netikėtų pranešimų, net jei juose rodomas jūsų vardas ar nuotrauka.
• Patikrinkite visus skubius ar mokėjimo prašymus per antrinį kanalą.

Nors konkretus masinio gyventojų surašymo būdas buvo uždarytas, šis epizodas įrodymų, kad viešųjų identifikatorių ir nedidelių kontrolės mechanizmų neatitikimų derinys gali sukelti didžiulį pavojų rizikaiKuo mažiau duomenų iš jūsų paskyros matys kiti, tuo labiau bus apribotas būsimų duomenų rinkimo metodų poveikis.

Austrijos tyrimai parodė, kad Bendra funkcija galėtų būti panaudota pramoniniu mastu, siekiant patvirtinti milijardus skaičių ir susieti su jais matomus profilius.„Meta“ sugriežtino ribas ir tvirtina, kad nėra jokių piktnaudžiavimo įrodymų, tačiau socialinės inžinerijos rizikosIšvados šalyse, kuriose taikomi draudimai ir duomenų išsaugojimas, pabrėžia poreikį peržiūrėti telefono numeriu pagrįstą dizainą ir skatinti griežtesnius privatumo įpročius tarp Europos vartotojų.