WhatsApp: O eroare a permis extragerea a 3.500 miliarde de numere și date de profil.

O investigație academică a pus în lumină o eroare de securitate în sistemul de descoperire a contactelor WhatsApp, care, atunci când este exploatat la scară largă, A permis verificarea numerelor de telefon și asocierea în masă a datelor de profil cu acestea.Constatarea descrie modul în care un proces de rutină al unei aplicații poate deveni, dacă este repetat într-un ritm industrial, o sursă de expunere la informații.

Studiul, condus de o echipă de la Universitatea din Viena, a demonstrat că este posibil să se verifice existența conturilor pentru miliarde de combinații de numere prin versiunea web, fără blocaje efective timp de luni de zile. Potrivit autorilor, dacă acest proces nu ar fi fost realizat în mod responsabil, am fi vorbit despre una dintre cele mai mari expuneri de date documentate vreodată.

Cum s-a materializat discrepanța: recensământ în masă

Problema nu era legată de spargerea criptării, ci de o slăbiciune conceptuală: instrument de căutare a contactelor al serviciului. WhatsApp permite utilizatorilor să verifice dacă un număr de telefon este înregistrat; repetarea acestei verificări automate și la scară largă a deschis calea către urmărirea globală.

Cercetătorii austrieci au folosit interfața web pentru a testa continuu numerele, ajungând la o rată aproximativă de 100 de milioane de cecuri pe oră fără limite de viteză efective în perioada analizată. Volumul respectiv a făcut posibilă o extracție fără precedent.

Rezultatul experimentului a fost concludent: au reușit să obțină numere de telefon din 3.500 miliarde de conturi prin WhatsApp. În plus, au reușit să asocieze date de profil disponibile public pentru o parte semnificativă a eșantionului respectiv.

Mai exact, echipa a remarcat că Fotografiile de profil au fost accesate în 57% din cazuri, iar textele de stare publică sau informațiile suplimentare în 29%.Deși aceste câmpuri depind de configurația fiecărui utilizator, expunerea lor la scară largă amplifică riscul.

• 3.500 miliarde de numere verificate ca înregistrate pe WhatsApp.
• 57% cu o fotografie de profil accesibilă publicului.
• 29% cu text de profil care poate fi căutat.

Avertismente anterioare care nu au fost luate în considerare la timp

Slăbiciunea enumerării nu era complet nouă: deja în 2017, cercetătorul olandez Loran Kloeze El a avertizat că este posibilă automatizarea verificării numerelor și asocierea acestora cu date vizibile.Acel avertisment a prefigurat situația actuală.

Lucrările recente ale Vienei au dus această idee la extrem și a arătat că dependența de numărul de telefon ca un identificator unic rămâne problematicDupă cum subliniază autorii, numerele Nu sunt concepute să acționeze ca acreditări secreteDar, în practică, ele îndeplinesc acest rol în multe servicii.

O altă concluzie relevantă a studiului este că o mare parte din informațiile personale își păstrează valoarea în timp: Echipa a descoperit că 58% dintre telefoanele expuse în scurgerea de informații de pe Facebook din 2021 Ei sunt încă activi pe WhatsApp și astăzi., ceea ce facilitează corelațiile și campaniile persistente.

Pe lângă numere, Procesul de interogare în masă a permis deducerea anumitor metadate tehniceCa tipul de client sau sistem de operare angajat și prezența versiunilor desktop, ceea ce adaugă suprafață pentru crearea de profiluri.

Răspunsul Meta: limite de viteză și poziția oficială

Cercetătorii Au raportat descoperirea către Meta în aprilie și au șters baza de date generată după validarea acesteia.Compania, la rândul ei, a implementat-o ​​în octombrie măsuri mai stricte de limitare a ratelor pentru a bloca enumerarea la scară largă prin intermediul internetului.

În declarații transmise publicațiilor de specialitate, Meta și-a exprimat recunoștința pentru notificarea prin intermediul programului său de recompense pentru eșecuri El a subliniat că informațiile afișate erau cele configurate de fiecare utilizator ca fiind vizibile. De asemenea, a declarat că nu a găsit nicio dovadă de abuz malițios al acestei metode.

Compania a insistat că mesajele au rămas protejate din cauza criptării end-to-end și a faptului că nu au fost accesate date nepublice. Nu exista nicio indicație că sistemul criptografic ar fi fost defect.

După mai multe întâlniri tehnice, WhatsApp a recompensat cercetarea cu Dolari 17.500Pentru echipă, procesul a servit la măsurarea și testarea eficacității noilor apărări implementate după notificare.

Riscuri reale: de la fraudă la direcționarea în țări cu interdicții

Dincolo de aspectele tehnice, principalul impact al acestei expuneri este practic. Cu un număr de telefon și informații de profil vizibile, devine mult mai ușor. construiesc campanii de inginerie socială și escrocherii direcționate care exploatează informațiile contextuale ale fiecărei victime.

Cercetătorii au identificat, de asemenea, milioane de conturi active în teritorii în care WhatsApp este interzis, cum ar fi China, Iran sau MyanmarVizibilitatea acestor numere ar putea avea consecințe personale sau juridice pentru utilizatori în contexte cu supraveghere intensă.

Disponibilitatea masivă a telefoanelor valide sporește spam, doxxing și phishing cu un nivel mai mare de precizie, în special atunci când fotografia de profil sau textul public oferă indicii despre identitate, angajare sau rețele sociale conectate.

Merită să ne amintim că, odată adăugate în baze de date uriașe, informațiile pot circula ani de zile, combinându-se cu alte scurgeri de informații către... îmbogăți profilurile și să crească eficacitatea atacurilor.

Europa și Spania: de ce contează aici

În Spania și în restul UE, unde WhatsApp este omniprezent, expunerea informațiilor la această scară îngrijorat de impactul său potențial asupra milioane de utilizatori și companiiDeși Meta a corectat metoda de enumerare, incidentul redeschide dezbaterea despre un design care se bazează pe numărul de telefon.

Cazul, care implică o echipă universitară europeană, servește ca o reamintire a faptului că până și funcțiile concepute pentru comoditate - cum ar fi găsirea instantanee a contactelor - Pot deveni vectori de risc dacă nu au apărări solide și verificate continuu..

De asemenea, subliniază necesitatea configurării cu atenție a setărilor de confidențialitate. Dacă fotografia de profil sau textul public dezvăluie mai multe informații decât este necesar, expunerea lor pe scară largă devine o... multiplicator de amenințare pentru utilizatori privați și profesionali.

Pentru organizațiile și administrațiile europene cu obligații de securitate, Limitarea vizibilității datelor și consolidarea procedurilor interne de verificare în afara aplicației ajută la reduce suprafața de atac a campaniilor de uzurpare a identității sau de fraudă.

Ce poți face chiar acum

În absența unui identificator alternativ, Cea mai bună apărare pentru utilizator implică ajustați opțiunile confidențialitatea profilului și să adopte obiceiuri prudente de comunicare.

• Restricționează fotografia de profil și informațiile la „Contactele mele” sau „Nimeni”.
• Evitați să includeți date sensibile sau linkuri personale în textul de stare..
• Fiți atenți la mesajele neașteptate, chiar dacă acestea vă arată numele sau fotografia..
• Verificați orice solicitări urgente sau de plată printr-un canal secundar.

Deși calea specifică pentru recensământul în masă a fost închisă, acest episod dovezi că combinarea identificatorilor publici și a micilor omisiuni în controale poate duce la expuneri enormeDacă limitezi la ce pot vedea ceilalți din contul tău, impactul tehnicilor viitoare de recoltare va fi limitat.

Cercetările austriece au arătat că O funcție comună ar putea fi exploatată la scară industrială pentru a valida miliarde de numere și a asocia profiluri vizibile cu acestea.Meta a înăsprit limitele și susține că nu există dovezi de abuz, dar riscuri de inginerie socialăConstatările din țările cu interdicții și persistență a datelor subliniază necesitatea revizuirii designului bazat pe numere de telefon și a încurajării unor obiceiuri de confidențialitate mai stricte în rândul utilizatorilor europeni.