- Onderzoekers in Wenen hebben laten zien hoe je op grote schaal getallen kunt tellen op WhatsApp.
- Er werden 3.500 miljard nummers verkregen, profielfoto's in 57% en openbare teksten in 29%.
- Meta voerde in oktober snelheidslimieten in en beweert dat de versleuteling van berichten hierdoor niet werd beïnvloed.
- Het risico bestaat onder meer uit gerichte oplichting en blootstelling aan landen waar WhatsApp verboden is.
Een academisch onderzoek heeft de aandacht gevestigd op beveiligingslek in het contactdetectiesysteem WhatsApp, dat op grote schaal wordt uitgebuit, Hierdoor was het mogelijk om telefoonnummers te verifiëren en profielgegevens massaal aan die nummers te koppelen.De bevinding beschrijft hoe een routinematig app-proces, indien herhaald op industrieel tempo, een bron van blootstelling aan informatie kan worden.
Uit het onderzoek, geleid door een team van de Universiteit van Wenen, bleek dat het mogelijk was om het bestaan van accounts te controleren voor miljarden getallencombinaties via de webversie, maandenlang zonder effectieve blokkades. Volgens de auteurs zouden we, als dat proces niet verantwoord was uitgevoerd, hier nu zitten. een van de grootste datalekken ooit gedocumenteerd.
Hoe de kloof ontstond: massale telling
Het probleem zat hem niet in het kraken van de encryptie, maar in een conceptuele zwakte: de contact zoektool van de dienst. WhatsApp stelt gebruikers in staat om te controleren of een telefoonnummer geregistreerd is; door deze controle automatisch en op grote schaal te herhalen, is de weg vrijgemaakt voor wereldwijde tracking.
De Oostenrijkse onderzoekers gebruikten de webinterface om voortdurend getallen te testen en bereikten een geschatte snelheid van 100 miljoen cheques per uur zonder enige effectieve snelheidsbeperking gedurende de geanalyseerde periode. Dat volume maakte een ongekende winning mogelijk.
Het resultaat van het experiment was doorslaggevend: ze waren in staat de telefoonnummers van 3.500 miljard accounts van WhatsApp. Bovendien konden ze openbaar beschikbare profielgegevens voor een aanzienlijk deel van de steekproef koppelen.
Het team merkte met name op dat In 57% van de gevallen werd er gekeken naar profielfoto’s en in 29% naar openbare statusteksten of aanvullende informatie.Hoewel deze velden afhankelijk zijn van de configuratie van de individuele gebruiker, vergroot hun blootstelling op grote schaal het risico.
- 3.500 miljard geregistreerde nummers op WhatsApp geverifieerd.
- 57% met een openbaar toegankelijke profielfoto.
- 29% met doorzoekbare profieltekst.
Eerdere waarschuwingen die niet op tijd in acht zijn genomen
De zwakte van de opsomming was niet geheel nieuw: al in 2017, de Nederlandse onderzoeker Loran Kloeze Hij waarschuwde dat het mogelijk is om de controle van getallen te automatiseren en deze te koppelen aan zichtbare gegevens.Die waarschuwing voorspelde de huidige situatie.
Het recente werk van Wenen bracht dat idee tot het uiterste en toonde aan dat afhankelijkheid van het telefoonnummer omdat een unieke identificatiecode problematisch blijftZoals de auteurs aangeven, zijn de cijfers Ze zijn niet ontworpen om als geheime inloggegevens te fungerenMaar in de praktijk vervullen ze die rol bij veel diensten.
Een andere relevante conclusie van het onderzoek is dat veel persoonlijke informatie zijn waarde in de loop van de tijd behoudt: Het team ontdekte dat 58% van de telefoons die in 2021 bij het Facebook-lek werden blootgesteld Ze zijn nog steeds actief op WhatsApp., wat correlaties en aanhoudende campagnes vergemakkelijkt.
Naast de cijfers, Het massale queryproces maakte het mogelijk om bepaalde technische metadata af te leiden, zoals de type client of besturingssysteem werknemer en de aanwezigheid van desktopversies, wat meer mogelijkheden biedt voor profilering.
Reactie van Meta: snelheidslimieten en officieel standpunt
De onderzoekers Ze rapporteerden de bevinding in april aan Meta en verwijderden de gegenereerde database nadat ze deze hadden gevalideerd.Het bedrijf heeft het op zijn beurt in oktober geïmplementeerd strengere tariefbeperkende maatregelen om grootschalige tellingen via het web te blokkeren.
In verklaringen die naar gespecialiseerde media werden gestuurd, uitte Meta zijn dankbaarheid voor de kennisgeving via zijn programma van beloningen voor falen Hij benadrukte dat de getoonde informatie overeenkwam met wat elke gebruiker als zichtbaar had ingesteld. Hij verklaarde ook dat hij geen bewijs had gevonden van kwaadwillig misbruik van deze methode.
Het bedrijf hield vol dat de berichten bleven beschermd vanwege end-to-end encryptie en het feit dat er geen toegang werd verkregen tot niet-openbare gegevens. Er waren geen aanwijzingen dat het cryptografische systeem was gekraakt.
Na een aantal technische bijeenkomsten beloonde WhatsApp het onderzoek met $17.500Voor het team diende het proces om de effectiviteit van de nieuwe verdedigingsmechanismen die na de melding waren ingezet, te meten en te testen.
Echte risico's: van fraude tot targeting in landen met verboden
Naast de technische aspecten is de belangrijkste impact van deze exposure praktisch van aard. Met een telefoonnummer en profielinformatie zichtbaar, wordt het een stuk eenvoudiger. social engineering campagnes opzetten en gerichte oplichtingspraktijken die misbruik maken van de contextuele informatie van elk slachtoffer.
De onderzoekers identificeerden ook miljoenen actieve accounts in gebieden waar WhatsApp verboden is, zoals China, Iran of MyanmarDe zichtbaarheid van deze cijfers kan persoonlijke of juridische gevolgen hebben voor gebruikers in omgevingen met een hoge mate van toezicht.
De enorme beschikbaarheid van geldige telefoons vergroot de spam, doxxing en phishing met een hogere mate van nauwkeurigheid, vooral wanneer de profielfoto of openbare tekst aanwijzingen geeft over identiteit, werkgelegenheid of gekoppelde sociale netwerken.
Het is de moeite waard om te onthouden dat informatie, eenmaal toegevoegd aan enorme databases, jarenlang kan blijven circuleren en samen met andere lekken kan worden samengevoegd. verrijk profielen en de effectiviteit van de aanvallen vergroten.
Europa en Spanje: waarom het hier van belang is
In Spanje en de rest van de EU, waar WhatsApp alomtegenwoordig is, is de blootstelling van informatie op deze schaal bezorgd over de mogelijke impact ervan op miljoenen gebruikers en bedrijvenHoewel Meta de opsommingsmethode heeft gecorrigeerd, opent het incident de discussie over een ontwerp dat afhankelijk is van het telefoonnummer.
De zaak, waarbij een Europees universiteitsteam betrokken is, dient als een herinnering dat zelfs functies die voor gemak zijn ontworpen – zoals het direct vinden van contacten – Ze kunnen risicovectoren worden als ze niet over solide en continu geverifieerde verdedigingsmechanismen beschikken.
Het benadrukt ook de noodzaak om privacyinstellingen zorgvuldig te configureren. Als de profielfoto of openbare tekst meer informatie onthult dan nodig is, wordt de wijdverspreide blootstelling ervan een dreigingsvermenigvuldiger voor particuliere en professionele gebruikers.
Voor Europese organisaties en administraties met beveiligingsverplichtingen, Het beperken van de zichtbaarheid van gegevens en het versterken van interne verificatieprocedures buiten de app helpt om het aanvalsoppervlak verkleinen van imitatie- of fraudecampagnes.
Wat u nu kunt doen
Bij ontstentenis van een alternatieve identificatiecode, De beste verdediging voor de gebruiker is: pas de opties aan profielprivacy en verstandige berichtgevingsgewoonten aannemen.
- Beperk profielfoto en -informatie tot 'Mijn contacten' of 'Niemand'.
- Vermijd het opnemen van gevoelige gegevens of persoonlijke links in uw statustekst..
- Wees op uw hoede voor onverwachte berichten, zelfs als ze uw naam of foto laten zien.
- Controleer alle urgente verzoeken of betalingsverzoeken via een secundair kanaal.
Hoewel de specifieke mogelijkheid voor massale telling is afgesloten, is deze aflevering bewijs dat de combinatie van openbare identificatiegegevens en kleine vergissingen in de controles tot enorme risico's kan leidenDoor het zicht van uw account op anderen tot een minimum te beperken, beperkt u de impact van toekomstige verzameltechnieken.
Uit Oostenrijks onderzoek is gebleken dat Een gemeenschappelijke functie zou op industriële schaal kunnen worden gebruikt om miljarden getallen te valideren en er zichtbare profielen aan te koppelen.Meta heeft de grenzen aangescherpt en beweert dat er geen bewijs is van misbruik, maar de risico's van sociale engineeringDe bevindingen in landen met verboden en datapersistentie benadrukken de noodzaak om het op telefoonnummers gebaseerde ontwerp te herzien en een strenger privacybeleid onder Europese gebruikers te stimuleren.
Ik ben een technologieliefhebber die van zijn 'nerd'-interesses zijn beroep heeft gemaakt. Ik heb meer dan 10 jaar van mijn leven doorgebracht met het gebruik van de allernieuwste technologie en het sleutelen aan allerlei programma's uit pure nieuwsgierigheid. Nu heb ik mij gespecialiseerd in computertechnologie en videogames. Dit komt omdat ik al meer dan vijf jaar voor verschillende websites over technologie en videogames schrijf en artikelen heb gemaakt die proberen u de informatie te geven die u nodig heeft in een taal die voor iedereen begrijpelijk is.
Als je vragen hebt, mijn kennis strekt zich uit van alles wat te maken heeft met het Windows-besturingssysteem tot Android voor mobiele telefoons. En mijn toewijding is aan jou, ik ben altijd bereid om een paar minuten te besteden en je te helpen bij het oplossen van eventuele vragen die je hebt in deze internetwereld.