WhatsApp: Një defekt lejoi nxjerrjen e 3.500 miliardë numrave dhe të dhënave të profileve.

Një hetim akademik ka vënë në qendër të vëmendjes një defekt sigurie në sistemin e zbulimit të kontakteve WhatsApp, i cili, kur shfrytëzohet në shkallë të gjerë, Kjo lejoi verifikimin e numrave të telefonit dhe shoqërimin masiv të të dhënave të profilit me to.Zbulimi përshkruan se si një proces rutinë i aplikacionit mund të bëhet, nëse përsëritet me një ritëm industrial, një burim ekspozimi ndaj informacionit.

Studimi, i udhëhequr nga një ekip nga Universiteti i Vjenës, tregoi se ishte e mundur të kontrollohej ekzistenca e llogarive për miliarda kombinime numrash përmes versionit në internet, pa bllokime efektive për muaj të tërë. Sipas autorëve, nëse ky proces nuk do të ishte kryer me përgjegjësi, do të flisnim për një nga ekspozimet më të mëdha të të dhënave të dokumentuara ndonjëherë.

Si u materializua boshllëku: numërimi masiv

Problemi nuk kishte të bënte me thyerjen e enkriptimit, por me një dobësi konceptuale: mjet kërkimi për kontakte të shërbimit. WhatsApp u lejon përdoruesve të kontrollojnë nëse një numër telefoni është i regjistruar; përsëritja e këtij kontrolli automatikisht dhe në shkallë të gjerë ka hapur derën për gjurmim global.

Studiuesit austriakë përdorën ndërfaqen e internetit për të testuar vazhdimisht numrat, duke arritur një shkallë e përafërt prej 100 milionë kontrollesh në orë pa ndonjë kufizim efektiv shpejtësie gjatë periudhës së analizuar. Ky vëllim bëri të mundur një nxjerrje të paprecedentë.

Rezultati i eksperimentit ishte përfundimtar: ata ishin në gjendje të merrnin numra telefoni nga 3.500 miliardë llogari nga WhatsApp. Përveç kësaj, ata ishin në gjendje të shoqëronin të dhënat e profilit të disponueshme publikisht për një pjesë të konsiderueshme të asaj mostre.

Në mënyrë specifike, ekipi vuri në dukje se Fotot e profilit u aksesuan në 57% të rasteve, dhe tekstet e statusit publik ose informacionet shtesë në 29%.Edhe pse këto fusha varen nga konfigurimi i secilit përdorues, ekspozimi i tyre në shkallë të gjerë e amplifikon rrezikun.

• 3.500 miliardë numra të verifikuar si të regjistruar në WhatsApp.
• 57% me një fotografi profili të aksesueshme publikisht.
• 29% me tekst profili të kërkueshëm.

Paralajmërime të mëparshme që nuk u morën parasysh në kohë

Dobësia e numërimit nuk ishte krejtësisht e re: tashmë në 2017, studiuesi holandez Loran Kloeze Ai paralajmëroi se ishte e mundur të automatizohej kontrolli i numrave dhe t'i shoqërohej atyre me të dhëna të dukshme.Ky paralajmërim paralajmëroi situatën aktuale.

Puna e fundit e Vjenës e çoi këtë ide në ekstrem dhe tregoi se varësia nga numri i telefonit pasi një identifikues unik mbetet problematikSiç theksojnë autorët, numrat Ato nuk janë të dizajnuara për të vepruar si kredenciale sekretePor në praktikë ata e përmbushin këtë rol në shumë shërbime.

Një tjetër përfundim i rëndësishëm i studimit është se shumë nga informacionet personale e ruajnë vlerën e tyre me kalimin e kohës: Ekipi zbuloi se 58% e telefonave të ekspozuar në rrjedhjen e të dhënave në Facebook në vitin 2021 Ata janë ende aktivë në WhatsApp sot., gjë që lehtëson korrelacionet dhe fushatat e vazhdueshme.

Përveç numrave, Procesi i pyetjeve masive lejoi që të nxirreshin disa meta të dhëna teknike., si lloji i klientit ose sistemit operativ punonjës dhe prania e versioneve për desktop, gjë që shton sipërfaqe për profilizim.

Përgjigja e Metës: kufijtë e shpejtësisë dhe qëndrimi zyrtar

Los hetues Ata ia raportuan gjetjen Meta-s në prill dhe e fshinë bazën e të dhënave të gjeneruar pasi e validuan atë.Kompania, nga ana e saj, e zbatoi atë në tetor masa më të rrepta kufizuese të tarifave për të bllokuar numërimin në shkallë të gjerë përmes internetit.

Në deklaratat e dërguara mediave të specializuara, Meta shprehu mirënjohje për njoftimin përmes programit të tij të shpërblime për dështimin Ai theksoi se informacioni i shfaqur ishte ai që secili përdorues e kishte konfiguruar si të dukshëm. Ai deklaroi gjithashtu se nuk kishte gjetur prova të abuzimit keqdashës të kësaj metode.

Kompania këmbënguli që mesazhet mbetën të mbrojtura për shkak të enkriptimit nga fillimi në fund dhe faktit që nuk u aksesua asnjë e dhënë jo-publike. Nuk kishte asnjë tregues se sistemi kriptografik ishte thyer.

Pas disa takimeve teknike, WhatsApp e shpërbleu hulumtimin me 17.500 dollarëPër ekipin, procesi shërbeu për të matur dhe testuar efektivitetin e mbrojtjeve të reja të vendosura pas njoftimit.

Rreziqe reale: nga mashtrimi te shënjestrimi në vendet me ndalime

Përtej aspekteve teknike, ndikimi kryesor i këtij ekspozimi është praktik. Me një numër telefoni dhe informacion profili të dukshëm, bëhet shumë më e lehtë. ndërto fushata të inxhinierisë sociale dhe mashtrime të synuara që shfrytëzojnë informacionin kontekstual të secilës viktimë.

Studiuesit identifikuan gjithashtu miliona llogari aktive në territoret ku WhatsApp është i ndaluar, siç është p.sh. Kinë, Iran ose MianmarDukshmëria e këtyre numrave mund të ketë pasoja personale ose ligjore për përdoruesit në kontekste me mbikëqyrje të lartë.

Disponueshmëria masive e telefonave të vlefshëm rrit spam, doxxing dhe phishing me një nivel më të lartë saktësie, veçanërisht kur fotografia e profilit ose teksti publik japin të dhëna rreth identitetit, punësimit ose rrjeteve sociale të lidhura.

Vlen të kujtohet se, pasi të shtohet në bazat e të dhënave të mëdha, informacioni mund të qarkullojë për vite me radhë, duke u kombinuar me rrjedhje të tjera për të... pasuroni profilet dhe për të rritur efektivitetin e sulmeve.

Evropa dhe Spanja: pse ka rëndësi këtu

Në Spanjë dhe pjesën tjetër të BE-së, ku WhatsApp është i kudondodhur, ekspozimi i informacionit në këtë shkallë të shqetësuar për ndikimin e mundshëm të tij në miliona përdorues dhe bizneseEdhe pse Meta e korrigjoi metodën e numërimit, incidenti rihap debatin rreth një dizajni që mbështetet në numrin e telefonit.

Rasti, që përfshin një ekip universiteti evropian, shërben si një kujtesë se edhe veçoritë e projektuara për lehtësi - si gjetja e kontakteve menjëherë - Ata mund të bëhen vektorë rreziku nëse nuk kanë mbrojtje të forta dhe të verifikuara vazhdimisht..

Gjithashtu thekson nevojën për të konfiguruar me kujdes cilësimet e privatësisë. Nëse fotografia e profilit ose teksti publik zbulon më shumë informacion sesa është e nevojshme, ekspozimi i saj i gjerë bëhet një shumëzues kërcënimi për përdorues privatë dhe profesionistë.

Për organizatat dhe administratat evropiane me detyrime sigurie, Kufizimi i dukshmërisë së të dhënave dhe forcimi i procedurave të verifikimit të brendshëm jashtë aplikacionit ndihmon në zvogëloni sipërfaqen e sulmit të fushatave të imitimit ose mashtrimit.

Çfarë mund të bësh tani

Në mungesë të një identifikuesi alternativ, Mbrojtja më e mirë për përdoruesin përfshin rregulloni opsionet privatësia e profilit dhe të përvetësojnë zakone të kujdesshme mesazhesh.

• Kufizoni foton dhe informacionin e profilit në "Kontaktet e mia" ose "Askush".
• Shmangni përfshirjen e të dhënave të ndjeshme ose lidhjeve personale në tekstin e statusit tuaj..
• Kini kujdes nga mesazhet e papritura, edhe nëse ato tregojnë emrin ose foton tuaj.
• Verifikoni çdo kërkesë urgjente ose pagese përmes një kanali dytësor.

Edhe pse rruga specifike për numërimin masiv është mbyllur, ky episod dëshmi se kombinimi i identifikuesve publikë dhe mbikëqyrjeve të vogla në kontrolle mund të çojë në ekspozime të mëdhaMbajtja në minimum e asaj që të tjerët mund të shohin nga llogaria juaj kufizon ndikimin e teknikave të ardhshme të mbledhjes së të dhënave.

Hulumtimet austriake treguan se Një funksion i zakonshëm mund të shfrytëzohet në shkallë industriale për të validuar miliarda numra dhe për të shoqëruar profile të dukshme me to.Meta i ka shtrënguar kufijtë dhe pohon se nuk ka prova për abuzim, por rreziqet e inxhinierisë socialeGjetjet në vendet me ndalime dhe qëndrueshmëri të të dhënave nxjerrin në pah nevojën për të rishikuar dizajnin e bazuar në numrin e telefonit dhe për të inkurajuar zakone më të rrepta të privatësisë midis përdoruesve evropianë.