व्हॉट्सअॅप सुरक्षा त्रुटी: ३.५ अब्ज फोन नंबर उघडकीस

व्हिएन्ना येथील संशोधकांनी जागतिक स्तरावर व्हॉट्सअॅपवर मोठ्या प्रमाणात संख्यांची गणना करण्याचे प्रात्यक्षिक दाखवले.
३.५ अब्ज क्रमांक मिळाले, ५७% मध्ये प्रोफाइल चित्रे आणि २९% मध्ये सार्वजनिक मजकूर मिळाले.
मेटाने ऑक्टोबरमध्ये वेग मर्यादा लागू केल्या आणि संदेश एन्क्रिप्शनवर परिणाम झाला नाही असा दावा केला.
ज्या देशांमध्ये WhatsApp बंदी आहे तेथे लक्ष्यित घोटाळे आणि उघडकीस येणे या धोक्याचा समावेश आहे.

एका शैक्षणिक तपासणीने यावर प्रकाश टाकला आहे की संपर्क शोध प्रणालीमध्ये सुरक्षा त्रुटी व्हॉट्सअॅप, ज्याचा मोठ्या प्रमाणावर वापर केला जातो तेव्हा, यामुळे फोन नंबरची पडताळणी करणे आणि त्यांच्याशी प्रोफाइल डेटाचे मोठ्या प्रमाणात संबंध जोडणे शक्य झाले.या निष्कर्षात वर्णन केले आहे की नियमित अॅप प्रक्रिया, जर औद्योगिक वेगाने पुनरावृत्ती केली तर, माहितीच्या प्रदर्शनाचा स्रोत कशी बनू शकते.

व्हिएन्ना विद्यापीठातील एका पथकाच्या नेतृत्वाखालील या अभ्यासातून असे दिसून आले की खात्यांचे अस्तित्व तपासणे शक्य आहे अब्जावधी संख्या संयोजन वेब आवृत्तीद्वारे, महिने प्रभावी ब्लॉकशिवाय. लेखकांच्या मते, जर ती प्रक्रिया जबाबदारीने पार पाडली गेली नसती, तर आपण याबद्दल बोलत असू आतापर्यंतच्या सर्वात मोठ्या डेटा एक्सपोजरपैकी एक.

अंतर कसे प्रत्यक्षात आले: वस्तुमान गणना

व्हॉट्सअॅप हॅक झाले

समस्या एन्क्रिप्शन तोडण्याची नव्हती, तर एका वैचारिक कमकुवतपणाची होती: संपर्क शोध साधन सेवेचा. व्हॉट्सअॅप वापरकर्त्यांना फोन नंबर नोंदणीकृत आहे की नाही हे तपासण्याची परवानगी देतो; ही तपासणी स्वयंचलितपणे आणि मोठ्या प्रमाणात पुनरावृत्ती केल्याने जागतिक ट्रॅकिंगचे दरवाजे उघडले आहेत.

ऑस्ट्रियन संशोधकांनी वेब इंटरफेसचा वापर करून संख्यांची सतत चाचणी केली, दर तासाला अंदाजे १०० दशलक्ष चेकचा दर विश्लेषण केलेल्या कालावधीत कोणत्याही प्रभावी वेग मर्यादांशिवाय. त्या आकारमानामुळे अभूतपूर्व निष्कर्षण शक्य झाले.

प्रयोगाचा निकाल निर्णायक होता: त्यांना हे मिळवता आले ३.५ अब्ज खात्यांमधील फोन नंबर व्हॉट्सअ‍ॅपचा याव्यतिरिक्त, ते त्या नमुन्याच्या महत्त्वपूर्ण भागासाठी सार्वजनिकरित्या उपलब्ध प्रोफाइल डेटा संबद्ध करण्यास सक्षम होते.

विशेष सामग्री - येथे क्लिक करा मॅकसाठी अवास्ट सिक्युरिटीचे घुसखोरी प्रतिबंध वैशिष्ट्य कसे सक्रिय करावे?

विशेषतः, संघाने असे नोंदवले की ५७% प्रकरणांमध्ये प्रोफाइल चित्रे आणि २९% प्रकरणांमध्ये सार्वजनिक स्टेटस मजकूर किंवा अतिरिक्त माहिती पाहिली गेली.जरी हे फील्ड प्रत्येक वापरकर्त्याच्या कॉन्फिगरेशनवर अवलंबून असले तरी, त्यांच्या प्रमाणावरील प्रदर्शनामुळे धोका वाढतो.

व्हॉट्सअॅपवर नोंदणीकृत म्हणून ३.५ अब्ज नंबरची पडताळणी झाली.
५७% लोकांकडे सार्वजनिकरित्या उपलब्ध असलेले प्रोफाइल चित्र आहे.
२९% शोधण्यायोग्य प्रोफाइल मजकुरासह.

वेळेत लक्ष न दिलेल्या पूर्वीच्या इशाऱ्या

व्हॉट्सअॅप डेटा लीक अलर्ट

गणनेची कमकुवतपणा पूर्णपणे नवीन नव्हती: आधीच 2017 मध्ये, डच संशोधक लोरान क्लोएझ त्यांनी इशारा दिला की संख्यांची तपासणी स्वयंचलित करणे आणि त्यांना दृश्यमान डेटाशी जोडणे शक्य आहे.त्या इशाऱ्याने सध्याच्या परिस्थितीचे पूर्वचित्रण केले.

व्हिएन्नाच्या अलीकडील कामाने ती कल्पना टोकाला नेली आणि दाखवले की टेलिफोन नंबरवर अवलंबून राहणे एक अद्वितीय ओळखकर्ता समस्याप्रधान राहतो म्हणूनलेखकांनी सांगितल्याप्रमाणे, संख्या ते गुप्त प्रमाणपत्रे म्हणून काम करण्यासाठी डिझाइन केलेले नाहीत.परंतु प्रत्यक्षात ते अनेक सेवांमध्ये ती भूमिका पार पाडतात.

अभ्यासाचा आणखी एक संबंधित निष्कर्ष असा आहे की बहुतेक वैयक्तिक माहिती कालांतराने त्याचे मूल्य टिकवून ठेवते: २०२१ च्या फेसबुक लीकमध्ये उघड झालेले ५८% फोन टीमला आढळले. ते आजही व्हॉट्सअॅपवर सक्रिय आहेत., जे सहसंबंध आणि सतत मोहिमा सुलभ करते.

संख्यांव्यतिरिक्त, मास क्वेरी प्रक्रियेमुळे काही तांत्रिक मेटाडेटा अनुमान काढता आला., सारखे क्लायंट किंवा ऑपरेटिंग सिस्टमचा प्रकार कर्मचारी आणि डेस्कटॉप आवृत्त्यांची उपस्थिती, जी प्रोफाइलिंगसाठी पृष्ठभाग क्षेत्र जोडते.

मेटाचा प्रतिसाद: वेग मर्यादा आणि अधिकृत भूमिका

प्रौढांसाठी डाउनलोड मेटा

तपासक त्यांनी एप्रिलमध्ये मेटाला हा निष्कर्ष कळवला आणि जनरेट केलेला डेटाबेस सत्यापित केल्यानंतर तो हटवला.कंपनीने, ऑक्टोबरमध्ये ते लागू केले. कठोर दर मर्यादा उपाय वेबद्वारे मोठ्या प्रमाणात गणनेला अडथळा आणण्यासाठी.

विशेष माध्यमांना पाठवलेल्या निवेदनांमध्ये, मेटाने त्यांच्या कार्यक्रमाद्वारे सूचनेबद्दल कृतज्ञता व्यक्त केली अपयशाचे बक्षिसे त्यांनी यावर भर दिला की प्रदर्शित केलेली माहिती प्रत्येक वापरकर्त्याने दृश्यमान म्हणून कॉन्फिगर केलेली होती. त्यांनी असेही सांगितले की त्यांना या पद्धतीचा दुर्भावनापूर्ण गैरवापर झाल्याचे कोणतेही पुरावे आढळले नाहीत.

विशेष सामग्री - येथे क्लिक करा Gmail संकेतशब्द कसा पुनर्प्राप्त करावा

कंपनीने आग्रह धरला की संदेश सुरक्षित राहिले एंड-टू-एंड एन्क्रिप्शनमुळे आणि कोणत्याही सार्वजनिक नसलेल्या डेटामध्ये प्रवेश न झाल्यामुळे. क्रिप्टोग्राफिक सिस्टममध्ये बिघाड झाल्याचे कोणतेही संकेत नव्हते.

अनेक तांत्रिक बैठकींनंतर, व्हॉट्सअॅपने संशोधनाला बक्षीस दिले 17.500 डॉलरसंघासाठी, या प्रक्रियेने अधिसूचनेनंतर तैनात केलेल्या नवीन संरक्षणाची प्रभावीता मोजण्यासाठी आणि चाचणी करण्यासाठी काम केले.

वास्तविक धोके: बंदी असलेल्या देशांमध्ये फसवणुकीपासून ते लक्ष्यीकरणापर्यंत

तांत्रिक बाबींव्यतिरिक्त, या प्रदर्शनाचा मुख्य परिणाम व्यावहारिक आहे. फोन नंबर आणि प्रोफाइल माहिती दृश्यमान असल्याने, ते खूप सोपे होते. सामाजिक अभियांत्रिकी मोहिमा तयार करा आणि प्रत्येक पीडिताच्या संदर्भातील माहितीचा गैरफायदा घेणारे लक्ष्यित घोटाळे.

संशोधकांनी अशा प्रदेशांमध्ये लाखो सक्रिय खाती देखील ओळखली जिथे व्हॉट्सअॅपवर बंदी आहे, जसे की चीन, इराण किंवा म्यानमारउच्च-निरीक्षणाच्या संदर्भात वापरकर्त्यांसाठी या क्रमांकांच्या दृश्यमानतेचे वैयक्तिक किंवा कायदेशीर परिणाम होऊ शकतात.

वैध फोनची मोठ्या प्रमाणात उपलब्धता वाढवते स्पॅम, डॉक्सिंग आणि फिशिंग उच्च पातळीच्या अचूकतेसह, विशेषतः जेव्हा प्रोफाइल चित्र किंवा सार्वजनिक मजकूर ओळख, रोजगार किंवा लिंक्ड सोशल नेटवर्क्सबद्दल संकेत प्रदान करतो.

हे लक्षात ठेवण्यासारखे आहे की, एकदा मोठ्या डेटाबेसमध्ये जोडल्यानंतर, माहिती वर्षानुवर्षे प्रसारित होऊ शकते, इतर गळतींसह एकत्रितपणे प्रोफाइल समृद्ध करा आणि हल्ल्यांची प्रभावीता वाढवा.

युरोप आणि स्पेन: येथे ते का महत्त्वाचे आहे

स्पेन आणि उर्वरित EU मध्ये, जिथे WhatsApp सर्वव्यापी आहे, या प्रमाणात माहितीचे प्रदर्शन त्याच्या संभाव्य परिणामाबद्दल चिंतित लाखो वापरकर्ते आणि व्यवसायजरी मेटाने गणना पद्धत दुरुस्त केली असली तरी, या घटनेमुळे फोन नंबरवर अवलंबून असलेल्या डिझाइनबद्दलचा वाद पुन्हा सुरू झाला आहे.

युरोपियन विद्यापीठाच्या टीमचा समावेश असलेला हा खटला आपल्याला आठवण करून देतो की सोयीसाठी डिझाइन केलेली वैशिष्ट्ये देखील - जसे की त्वरित संपर्क शोधणे - जर त्यांच्याकडे ठोस आणि सतत पडताळलेले संरक्षण नसेल तर ते धोक्याचे वाहक बनू शकतात..

विशेष सामग्री - येथे क्लिक करा हॅक झालेले WhatsApp अकाउंट कसे रिकव्हर करावे आणि सुरक्षित कसे करावे

हे गोपनीयता सेटिंग्ज काळजीपूर्वक कॉन्फिगर करण्याची गरज देखील अधोरेखित करते. जर प्रोफाइल चित्र किंवा सार्वजनिक मजकूर आवश्यकतेपेक्षा जास्त माहिती उघड करतो, तर त्याचे व्यापक प्रदर्शन एक धोका गुणक खाजगी आणि व्यावसायिक वापरकर्त्यांसाठी.

सुरक्षा जबाबदाऱ्या असलेल्या युरोपियन संस्था आणि प्रशासनांसाठी, डेटा दृश्यमानता मर्यादित करणे आणि अॅपच्या बाहेर अंतर्गत पडताळणी प्रक्रिया मजबूत करणे मदत करते आक्रमण पृष्ठभाग कमी करा तोतयागिरी किंवा फसवणूक मोहिमा.

तुम्ही आत्ता काय करू शकता

पर्यायी ओळखपत्राच्या अनुपस्थितीत, वापरकर्त्यासाठी सर्वोत्तम संरक्षण म्हणजे पर्याय समायोजित करा प्रोफाइल गोपनीयता आणि विवेकपूर्ण संदेशवहन सवयी अंगीकारा.

प्रोफाइल चित्र आणि माहिती "माझे संपर्क" किंवा "कोणीही नाही" पर्यंत मर्यादित करा..
तुमच्या स्टेटस टेक्स्टमध्ये संवेदनशील डेटा किंवा वैयक्तिक लिंक्स समाविष्ट करणे टाळा..
अनपेक्षित संदेशांपासून सावध रहा, जरी ते तुमचे नाव किंवा फोटो दाखवत असले तरीही.
कोणत्याही तातडीच्या किंवा पेमेंट विनंत्या दुय्यम माध्यमाद्वारे पडताळून पहा..

जरी मोठ्या प्रमाणात जनगणनेचा विशिष्ट मार्ग बंद झाला असला तरी, हा भाग सार्वजनिक ओळखपत्रे आणि नियंत्रणांमध्ये लहान निरीक्षणे यांचे संयोजन मोठ्या प्रमाणात धोका निर्माण करू शकते याचा पुरावातुमच्या खात्यातील इतरांना जे पाहता येईल ते कमीत कमी ठेवल्याने भविष्यातील कापणी तंत्रांचा प्रभाव मर्यादित होतो.

ऑस्ट्रियन संशोधनात असे दिसून आले की अब्जावधी संख्या सत्यापित करण्यासाठी आणि त्यांच्याशी दृश्यमान प्रोफाइल जोडण्यासाठी औद्योगिक स्तरावर एका सामान्य कार्याचा वापर केला जाऊ शकतो.मेटाने मर्यादा कडक केल्या आहेत आणि गैरवापराचे कोणतेही पुरावे नसल्याचे कायम ठेवले आहे, परंतु सामाजिक अभियांत्रिकी धोकेबंदी आणि डेटा टिकून राहणाऱ्या देशांमध्ये मिळालेल्या निष्कर्षांवरून फोन नंबर-आधारित डिझाइनचा आढावा घेण्याची आणि युरोपियन वापरकर्त्यांमध्ये कठोर गोपनीयतेच्या सवयींना प्रोत्साहन देण्याची गरज अधोरेखित होते.